Bulletin-ID: 2026-024-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 30.04.2026, 11.45 Uhr PDT
 

Beschreibung:

Amazon Elastic Container Service (Amazon ECS) ist ein vollständig verwalteter Container-Orchestrierungsdienst, mit dem Kunden containerisierte Anwendungen einfach bereitstellen, verwalten und skalieren können. Der Amazon-ECS-Agent bietet Support für das Einbinden von FSx-für-Windows-File-Server-Volumes in Aufgabendefinitionen auf Windows-EC2-Instances. Wir haben die Schwachstelle CVE-2026-7461 identifiziert, eine Schwachstelle durch Befehlsinjektion beim Einbinden von FSx-Volumes, die den Code mit SYSTEM-Rechten ausführen lässt über speziell gestaltete Anmeldeinformationen in ECS-Aufgabendefinitionen.

Betroffene Versionen: Version 1.47.0 bis 1.102.2 des ECS-Agenten für Windows

Lösung:

Dieses Problem betrifft nur ECS-Windows-Worker-Instances. ECS auf Fargate ist nicht betroffen. Dieses Problem wurde in ECS Agent Version 1.103.0 behoben. Wir empfehlen, auf die neueste, für Amazon ECS optimierte Windows-AMI mit einer aktualisierten ECS-Agent-Version zu aktualisieren.

Problemumgehungen:

Kunden, die kein Update auf das neueste AMI durchführen können, sollten die Berechtigungen für „ecs:RegisterTaskDefinition“ auf vertrauenswürdige IAM-Prinzipale beschränken und nicht auf Secrets Manager-Geheimnisse zugreifen dürfen, auf die in FSx-Volumenkonfigurationen verwiesen wird.

Referenzen:

• CVE-2026-7461
• GHSA-fc67-c4hg-q653

Danksagung:

Wir möchten Sachin Patil für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.