公告 ID：2026-022-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 29 日上午 11:45 (太平洋夏令時間)
 

描述：

FreeRTOS-Plus-TCP 是適用於 FreeRTOS 的開放原始碼、可擴充 TCP/IP 堆疊。我們發現了 CVE-2026-7424，DHCPv6 子選項解析器中的整數下溢問題可能會讓相鄰網路使用者破壞裝置的 IPv6 位址指派、DNS 組態與租約時間，並導致阻斷服務 (IP 任務凍結，需要硬體重設)。

受影響版本：FreeRTOS-Plus-TCP >=V4.0.0 且 <=V4.2.5，>=V4.3.0 且 <= V4.4.0

解決方案：

此問題已在 FreeRTOS-Plus-TCP V4.4.1 與 V4.2.6 版中解決。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法：

無法立即升級的使用者可在其 FreeRTOSIPConfig.h 組態檔案中將 ipconfigUSE_DHCPv6 設定為 0 來停用 DHCPv6。請注意，此變通方法需要手動設定 IPv6 位址。

參考資料：

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

致謝：

誠摯感謝資安研究人員 @Eun0us | Espilon 透過協調式漏洞揭露程序，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。