공지 ID: 2026-023-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 29일 오전 11시 45분(PDT)
 

설명:

FreeRTOS-Plus-TCP는 FreeRTOS용으로 설계된 오픈 소스 TCP/IP 스택 구현으로, 표준 버클리 소켓 인터페이스를 제공하고 IPv6, ARP, DHCP, DNS 및 라우터 광고(RA)를 포함한 필수 네트워킹 프로토콜을 지원합니다. IPv6 라우터 광고 옵션 구문 분석기에서 CVE-2026-7425 및 CVE-2026-7426은 각각 범위를 벗어난 읽기 및 범위를 벗어난 쓰기 문제로, 길이 필드에 대한 유효성 검사가 충분하지 않아 적절한 경계 검사 없이 메모리 작업이 가능하다는 것을 확인했습니다.

두 문제 모두 조작된 라우터 광고 패킷을 전송할 수 있는 로컬 네트워크의 모든 디바이스에서 악용될 수 있습니다. 인증이나 사용자 상호 작용이 필요하지 않습니다.

영향을 받는 버전: 버전 4.0.0 이상 및 4.2.5 이하, 버전 4.3.0 이상 및 4.4.0 이하

해결 방법:

이 문제는 FreeRTOS-Plus-TCP 버전 4.4.1 및 버전 4.2.6에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

업그레이드가 즉시 가능하지 않은 경우 다음 완화 방법을 고려하세요.

• 로컬 네트워크 세그먼트에서 신뢰할 수 없는 라우터 광고 패킷을 차단하는 네트워크 수준 필터링 구현
• 비인가 RA 패킷을 주입할 수 없는 격리된 네트워크 세그먼트에 디바이스 배포

참고 사항:

• CVE-2026-7425
• CVE-2026-7426
• GHSA-gffr-xgjg-jh9j
• GHSA-97qg-4359-xm3x

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Espilon에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.