CVE-2025-5688 - FreeRTOS-Plus-TCPにおけるバウンド書き込み

FreeRTOS-Plus-TCPは、FreeRTOS向けのオープンソースTCP/IPスタック実装であり、標準のBerkeleyソケットインターフェースを提供し、基本的なプロトコルをサポートしています。バッファー割り当てスキーム2種類を提供し、バッファー管理を行います。CVE-2025-5688という脆弱性が見され、LLMNRやmDNSクエリーに非常に長い名前がある場合、境界外書き込みが可能になります。この問題は、バッファー割り当てスキーム1でLLMNRやmDNSを有効にしているシステムにのみ影響します。影響を受けるバージョンは、LLMNRを使用する場合v2.3.4からv4.3.1まで、mDNSを使用する場合v4.0.0からv4.3.1までです。この問題は、FreeRTOS-Plus-TCPバージョン4.3.2で修正されており、最新バージョンにアップグレードし、フォークや派生コードをパッチすることをお勧めします。この問題に対する対処方法はありません。パデュー大学は、この問題について協調脆弱性開示プロセスを通じて協力しました。この問題は、CVE-2025-5688およびGHSA-5x4f-wr65として参照されています。セキュリティに関する質問や懸念は、aws-security@amazon.comにメールでお問い合わせください。