CVE-2025-5688 - Écriture hors limites dans FreeRTOS-Plus-TCP

FreeRTOS-Plus-TCP est une mise en œuvre de pile TCP/IP open-source conçue pour FreeRTOS, offrant une interface de sockets standard et prenant en charge les protocoles essentiels. Elle propose deux schémas d'allocation de mémoire pour la gestion des mémoires tampons. Une vulnérabilité, CVE-2025-5688, a été identifiée, qui permet d'écrire en dehors des limites lors du traitement des requêtes mDNS ou LLMNR avec des noms de domaine DNS très longs. Ce problème ne concerne que les systèmes utilisant le schéma d'allocation de mémoire 1 avec LLMNR ou mDNS activé. Les versions affectées sont v2.3.4 à v4.3.1 si LLMNR est utilisé avec le schéma d'allocation de mémoire 1, et v4.0.0 à v4.3.1 si mDNS est utilisé avec le schéma d'allocation de mémoire 1. Le problème a été résolu dans la version 4.3.2 de FreeRTOS-Plus-TCP, et il est recommandé de mettre à jour vers la dernière version et de s'assurer que tout code forké ou dérivé est corrigé. Il n'y a pas de contournement pour ce problème. L'Université Purdue a collaboré sur ce problème via le processus de divulgation de vulnérabilité coordonnée. Le problème est référencé comme CVE-2025-5688 et GHSA-5x4f-fvv8-wr65. Toute question ou préoccupation de sécurité peut être envoyée par e-mail à aws-security@amazon.com.