Überspringen zum Hauptinhalt

CVE-2026-5747 – Schreibzugriff außerhalb des zulässigen Bereichs im Firecracker-virtio-pci-Transport

Bulletin-ID: 2026-015-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig
Veröffentlichungsdatum: 07.04.2026, 15.30 Uhr PST

Beschreibung:

Firecracker ist eine Open-Source-Virtualisierungstechnologie, die speziell für die Erstellung und Verwaltung sicherer, mandantenfähiger Container und funktionsbasierter Services entwickelt wurde.

Wir haben CVE-2026-5747 identifiziert, ein Problem mit einem Schreibzugriff außerhalb des zulässigen Bereichs im virtio-PCI-Transport in Firecracker 1.13.0 bis 1.14.3 und 1.15.0 auf x86_64 und aarch64, das es einem lokalen Gastbenutzer mit Root-Rechten ermöglichen könnte, den Firecracker-VMM-Prozess zum Absturz zu bringen oder potenziell beliebigen Code auf dem Host auszuführen, indem nach der Geräteaktivierung die Konfigurationsregister der virtio-Warteschlange geändert werden. Die Ausführung von Code auf dem Host erfordert zusätzliche Voraussetzungen, wie beispielsweise die Verwendung eines benutzerdefinierten Gast-Kernels oder spezifischer Snapshot-Konfigurationen.

Es ist kein AWS-Service betroffen.

Betroffene Versionen: Firecracker >= 1.13.0 UND <= 1.14.3 UND 1.15.0

Lösung:

Dieses Problem wurde in den Firecracker-Versionen 1.14.4 und 1.15.1 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Umgehungslösungen
Der virtio-PCI-Transport wird beim Starten von Firecracker über das Befehlszeilen-Flag --enable-pci aktiviert. Der ältere MMIO-Transport ist die Standardeinstellung und von diesem Problem nicht betroffen. Benutzer, die den PCI-Transport aktiviert haben, können wieder auf MMIO umstellen, indem sie das Flag --enable-pci aus ihrem Firecracker-Aufruf entfernen. Beachten Sie, dass der Wechsel vom PCI- zum MMIO-Transport zu einem verringerten I/O-Durchsatz und einer erhöhten Latenz führen kann.

Referenzen
CVE-2026-5747
GHSA-776c-mpj7-jm3r

Danksagung
Wir danken Anthropic dafür, dass sie dieses Problem dem AWS Vulnerability Disclosure Program gemeldet haben.

 

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.