公告 ID：2026-003-AWS
范围： AWS
内容类型： 重要提示（需要注意）
发布日期：2026 年 1 月 23 日 12:30（太平洋标准时间）
 

描述：

Firecracker 是一种开源虚拟化技术，专门用于创建和管理安全的多租户容器及基于功能的服务。Firecracker 在用户空间中运行，通过基于 Linux 内核的虚拟机（KVM）来创建微型虚拟机。每个 Firecracker 微型虚拟机均由名为“jailer”的配套程序，通过常见的 Linux 用户空间安全屏障进行进一步隔离。jailer 可在微型虚拟机边界被用户突破后提供第二道防御线，并且会在每个 Firecracker 版本中发布。

我们已知悉 CVE-2026-1386 问题，该问题与 Firecracker jailer 相关，在特定情况下允许用户覆盖主机文件系统中的任意文件。

使用 Firecracker 的 AWS 服务不受该问题影响。因为我们已通过合理限制对主机及 jailer 文件夹的访问权限，阻断了攻击发生所需的前提条件。

受影响的版本：Firecracker 版本 v1.13.1 及更早版本以及 1.14.0

解决方法：

此问题已在 Firecracker 版本 v1.14.1 和 v1.13.2 中得到解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果用户无法升级到 Firecracker 版本 v1.14.1 或 v1.13.2，我们建议使用 UNIX 用户权限保护 jailer 文件夹，使其仅限于使用以下示例命令的受信任用户访问：

     chown <trusted user> <jail folder path>
     chmod 700 <jail folder path>

参考：

• CVE-2026-1386
• GHSA-36j2-f825-qvgc

致谢：

感谢一位独立安全研究员通过协调漏洞披露流程就此问题与我们协作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。