速報 ID: 2026-022-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 29 日 午前 11 時 45 分 (PDT)
 

説明:

FreeRTOS-Plus-TCP は、FreeRTOS 向けのオープンソースでスケーラブルなTCP/IPスタックです。当社は、CVE-2026-7424 を特定しました。これは、DHCPv6 サブオプションパーサーにおける整数アンダーフローの問題により、隣接するネットワークユーザーがデバイスの IPv6 アドレス割り当て、DNS 設定、リース時間を破壊し、サービス拒否 (ハードウェアのリセットが必要な IP タスクフリーズ) を引き起こすおそれがあるというものです。

影響を受けるバージョン: FreeRTOS-Plus-TCP V4.0.0 以上 V4.2.5 以下、ならびに V4.3.0 以上、V4.4.0 以下

解決方法:

この問題は、FreeRTOS-Plus-TCP バージョン V4.4.1 と V4.2.6 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

すぐにアップグレードできないユーザーは、FreeRtoSipConfig.h 設定ファイルで ipConfigUse_DHCPv6 を 0 に設定することで DHCPv6 を無効にできます。この回避策では、手動で IPv6 アドレスを設定する必要があることに注意してください。

参考情報:

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

謝辞:

協調的脆弱性開示プロセスを通じてこの問題の解決に協力してくださったセキュリティ研究者である @Eun0us | Espilon 氏に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。