「FreeRTOS-Plus-TCP」のDNS処理に脆弱性 - アップデートで修正
組込システム向けリアルタイムOS「FreeRTOS」へ「TCP/IPスタック」を追加した「FreeRTOS-Plus-TCP」に脆弱性が明らかとなった。
DNSのレスポンスにおけるドメイン名を解析する際、細工されたレスポンスを処理するとバッファオーバーリードが生じる「CVE-2024-38373」が明らかとなったもの。
同OS内でDNS機能を使用するアプリケーションに影響があるという。DNS機能が有効となっていても、アプリケーションがDNSを利用しない場合は、影響を受けない。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.6」、重要度を「クリティカル(Critical)」とレーティングした。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」ではCVSS基本値を「8.1」、重要度を「高(High)」と評価している。
開発チームでは、現地時間6月13日にリリースした「同4.1.1」にて脆弱性を修正。その後「同4.2.0」がリリースされている。
(Security NEXT - 2024/06/27 )
ツイート
PR
関連記事
「Dell Data Lakehouse」が脆弱性145件を修正 - 深刻な脆弱性も
SAP、月例アドバイザリ20件を公開 - 複数「クリティカル」も
「ManageEngine Analytics Plus」にSQLi脆弱性 - 8月の更新で修正済み
マルウェア対策製品「Avast」「AVG」に深刻な脆弱性
Synology製NAS「BeeStation」に深刻な脆弱性 - 修正版が公開
米当局、「WatchGuard Firebox」など脆弱性3件の悪用に注意喚起
国勢調査の回答状況確認表が所在不明 - 石垣市
エキストラ募集メールに誤リンク - 修正漏れで別人宛に
岐阜県の結婚支援サイトが改ざん - 個人情報流出は否定
国会図書館のシステム開発再委託先で侵害 - 影響範囲を調査
