つみかさね

CVE-2026-1678

Critical(9.4)

CVE-2026-1678 — Zephyr RTOS DNS名前解析の境界外書き込み

公開日: 2026-03-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Zephyr RTOSZephyr ProjectCONFIG_DNS_RESOLVER有効時
CVEZephyrRTOSIoTDNS境界外書き込み

概要

Zephyr RTOSはIoTデバイス向けのリアルタイムオペレーティングシステムです。DNS名前解析の dns_unpack_name() 関数に境界外書き込みの脆弱性が存在します。

この関数はバッファの残容量を初回に1回だけキャッシュし、DNSラベルの追加中に再利用します。バッファが拡張されるとキャッシュされたサイズが不正確になり、最終的なnullターミネータがバッファ境界を超えて書き込まれます。アサーションが無効(デフォルト)の状態で、悪意あるDNSレスポンスにより境界外書き込みが発生します。

CVSSベクトル

項目
CVSSスコア9.4
深刻度Critical
CWECWE-787 (境界外書き込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Zephyr RTOSZephyr ProjectCONFIG_DNS_RESOLVER有効時

修正バージョンと回避策

  • 修正バージョン: Zephyr Projectのセキュリティアドバイザリを確認してください
  • 暫定回避策: CONFIG_DNS_RESOLVERを無効にする(機能に影響あり)。信頼できないネットワークからのDNSレスポンスをフィルタリングする

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-1678
GitHub Advisory:https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-536f-h63g-hj42
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。