公告 ID：2026-022-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 29 日上午 11:45（太平洋夏令时）
 

描述：

FreeRTOS-Plus-TCP 是用于 FreeRTOS 的开源、可扩展的 TCP/IP 堆栈。我们发现了 CVE-2026-7424，其中 DHCPv6 子选项解析器中的整数下溢问题可能导致邻近的网络用户破坏设备的 IPv6 地址分配、DNS 配置和租用时间，并造成拒绝服务（IP 任务冻结需要重置硬件）。

受影响的版本：FreeRTOS-Plus-TCP >=V4.0.0 和 <=V4.2.5、>=V4.3.0 和 <= V4.4.0

解决方法：

此问题已在 FreeRTOS-Plus-TCP 版本 V4.4.1 和 V4.2.6 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

无法立即升级的用户可以通过在 FreeRTOSIPConfig.h 配置文件中将 ipconfigUSE_DHCPv6 设置为 0 来禁用 DHCPv6。请注意，此临时措施需要手动配置 IPv6 地址。

参考：

• CVE-2026-7424
• GHSA-wrhm-c99p-2p8g

致谢：

我们非常感谢安全研究人员 @Eun0us | Espilon 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。