CVE-2025-5688 - Нарушение границ записи в FreeRTOS-Plus-TCP

FreeRTOS-Plus-TCP - это реализация стека TCP/IP с открытым исходным кодом, предназначенная для FreeRTOS, которая предоставляет стандартный интерфейс сокетов Berkeley и поддерживает основные протоколы. Она предлагает две схемы выделения буфера для управления буферами. Была выявлена уязвимость CVE-2025-5688, которая позволяет записать данные за пределами буфера при обработке запросов LLMNR или mDNS с очень длинными именами DNS. Эта проблема затрагивает только системы, использующие схему выделения буфера 1 с включенным LLMNR или mDNS. Затронутые версии - v2.3.4 через v4.3.1, если LLMNR используется со схемой выделения буфера 1, и v4.0.0 через v4.3.1, если mDNS используется со схемой выделения буфера 1. Эта проблема была исправлена в версии FreeRTOS-Plus-TCP 4.3.2, и рекомендуется обновиться до последней версии и обеспечить исправление любого форка или производного кода. Для этой проблемы нет обходных путей. Университет Пердью сотрудничал в решении этой проблемы через процесс скоординированного раскрытия уязвимостей. Эта проблема ссылается как CVE-2025-5688 и GHSA-5x4f-fvv8-wr65. Любые вопросы или проблемы безопасности можно отправить по электронной почте на aws-security@amazon.com.