Saltar al contenido principal

CVE-2026-1386: Sobrescritura arbitraria de archivos del host mediante enlaces simbólicos en Firecracker Jailer

ID del boletín: 2026-003-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 23/01/2026 12:30 h PST
 

Descripción:

Firecracker es una tecnología de virtualización de código abierto diseñada específicamente para crear y administrar contenedores multiinquilino seguros y servicios basados en funciones. Firecracker se pone en marcha en el espacio del usuario y usa la máquina virtual basada en kernel (KVM) de Linux para crear micromáquinas virtuales (microVM). Cada microVM de Firecracker se aísla aún más con barreras de seguridad comunes en el espacio de usuario de Linux mediante un programa complementario llamado “jailer”. El jailer proporciona una segunda línea de defensa en caso de que un usuario traspase los límites de la microVM y se publica en cada versión de Firecracker.

Estamos al tanto de la existencia de CVE-2026-1386, un problema relacionado con el jailer de Firecracker que, en determinadas circunstancias, puede permitir a un usuario sobrescribir de forma arbitraria archivos en el sistema de archivos del host.

Los servicios de AWS que usan Firecracker no se ven afectados por este problema, ya que restringimos adecuadamente el acceso al host y a la carpeta del jailer, lo que bloquea las condiciones previas necesarias para que se produzca el ataque.

Versiones afectadas: versión 1.13.1 y anteriores y la versión 1.14.0 de Firecracker.

Resolución:

Este problema se solucionó en las versiones 1.14.1 y 1.13.2 de Firecracker. Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

Si los usuarios no pueden actualizar a la versión 1.14.1 o 1.13.2 de Firecracker, recomendamos proteger la carpeta del jailer con permisos de usuario de UNIX para restringir su acceso solo a los usuarios de confianza con estos comandos de ejemplo.

     chown <usuario de confianza> <ruta de la carpeta del jailer>
     chmod 700 <ruta de la carpeta del jailer>

Referencias:

Reconocimiento:

Nos gustaría agradecer a un investigador de seguridad independiente por colaborar en este problema a través del proceso coordinado de divulgación de vulnerabilidades.


Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.