速報 ID: 2026-023-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 29 日 午前 11 時 45 分 (PDT)
 

説明:

FreeRTOS-Plus-TCPは、FreeRTOS 向けに設計されたオープンソースの TCP/IPスタック実装であり、標準的なバークレーソケットインターフェイスを提供するとともに、IPv6、ARP、DHCP、DNS、ルーターアドバタイズメント (RA) などの主要なネットワークプロトコルをサポートします。当社は、CVE-2026-7425とCVE-2026-7426 を特定しました。前者は IPv6 ルーターアドバタイズメントオプションパーサーにおける領域外読み取りの問題、後者は領域外書き込みの問題であり、いずれも、長さフィールドの検証が不十分なため、適切な境界チェックなしにメモリ操作が行われる可能性があります。

いずれの問題も、細工されたルーターアドバタイズメントパケットを送信できる、ローカルネットワーク上の任意のデバイスによって悪用される可能性があります。認証やユーザー操作は不要です。

影響を受けるバージョン:V4.0.0 以上 V4.2.5 以下、ならびに V4.3.0 以上、V4.4.0 以下

解決方法:

この問題は、FreeRTOS-Plus-TCP バージョン V4.4.1 と V4.2.6 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

すぐにアップグレードできない場合は、次の対策を検討してください。

• ネットワークレベルのフィルタリングを実装して、ローカルネットワークセグメント上の信頼できないルーターアドバタイズメントパケットをブロックします
• 不正な RA パケットを注入できない隔離されたネットワークセグメントにデバイスをデプロイします

参考情報:

• CVE-2026-7425
• CVE-2026-7426
• GHSA-gffr-xgjg-jh9j
• GHSA-97qg-4359-xm3x

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Espilon に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。