ID bollettino: 2026-022-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 29/04/2026 11:45 PDT
 

Descrizione:

FreeRTOS-Plus-TCP è uno stack TCP/IP open-source e scalabile per FreeRTOS. È stata identificata la vulnerabilità CVE-2026-7424, relativa a un problema di underflow di interi nel parser delle sotto-opzioni DHCPv6. In determinate condizioni, un utente di rete adiacente potrebbe sfruttare questa vulnerabilità per compromettere l’assegnazione dell’indirizzo IPv6 del dispositivo, la configurazione DNS e i tempi di lease. Inoltre, l’exploit potrebbe causare un denial of service, portando al blocco del task IP e richiedendo un riavvio hardware.

Versioni interessate: FreeRTOS-Plus-TCP V4.0.0 e successive E V4.2.5 e precedenti, V4.3.0 e successive E V4.4.0 e precedenti

Risoluzione:

il problema è stato risolto nella versione V4.4.1 e V4.2.6 di FreeRTOS-Plus-TCP. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

gli utenti che non possono effettuare subito l’aggiornamento possono disabilitare DHCPv6 impostando ipconfigUSE_DHCPv6 a 0 nel file di configurazione FreeRTOSIPConfig.h. Questa soluzione alternativa richiede la configurazione manuale dell’indirizzo IPv6.

Riferimenti:

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

Ringraziamenti:

Si ringrazia il ricercatore di sicurezza @Eun0us | Espilon per la collaborazione nel processo di divulgazione coordinata della vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.