CVE-2026-1386 – Firecracker Jailer ermöglicht das Überschreiben beliebiger Dateien auf dem Host über Symlinks
Bulletin-ID: 2026-003-AWS
Geltungsbereich:
AWS
Inhaltstyp:
Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 23.01.2026, 12:30 Uhr PST
Beschreibung:
Firecracker ist eine Open-Source-Virtualisierungstechnologie, die speziell für die Erstellung und Verwaltung sicherer, mandantenfähiger Container und funktionsbasierter Services entwickelt wurde. Firecracker wird im Benutzerraum ausgeführt und erstellt mittels kernelbasierter virtueller Maschine (KVM) von Linux microVMs. Ein Begleitprogramm namens „Jailer“ sorgt mittels gängiger Sicherheitsbarrieren für zusätzliche Isolierung jeder einzelnen microVM von Firecracker im Benutzerraum. Der Jailer stellt eine zweite Verteidigungslinie für den Fall dar, dass ein Benutzer die Grenzen der microVM überschreitet. Dieser Jailer wird mit jeder Version von Firecracker veröffentlicht.
Aus CVE-2026-1386 kennen wir ein Problem im Zusammenhang mit dem Jailer von Firecracker. Dieses Problem besteht darin, dass es einem Benutzer unter bestimmten Umständen möglich ist, beliebige Dateien im Host-Dateisystem zu überschreiben.
AWS-Services, die Firecracker verwenden, sind von dem Problem nicht betroffen, da wir den Zugriff auf den Host und auf den Ordner des Jailers ausreichend einschränken. Dadurch sind die Voraussetzungen für einen solchen Angriff blockiert.
Betroffene Versionen: Firecracker V1.13.1 und früher und Firecracker V1.14.0
Behebung:
Dieses Problem wurde in den Versionen Firecracker V1.14.1 und V1.13.2 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.
Problemumgehungen:
Können Benutzer kein Upgrade von Firecracker auf V1.14.1 bzw. V1.13.2 vornehmen, empfehlen wir, den Ordner des Jailers mithilfe von UNIX-Benutzerberechtigungen zu schützen. Der Zugriff auf diesen Order sollte nur vertrauenswürdigen Benutzern möglich sein. Das kann anhand folgender Befehle erreicht werden:
chown <vertrauenswürdiger Benutzer><Pfad zum Jailer-Ordner>
chmod 700 <Pfad zum Jailer-Ordner>
Referenzen:
Danksagung:
Wir möchten einem Independent Security Researcher für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.