速報 ID: 2026-003-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 1 月 23 日 午後 0 時 30 分 (PST)
 

説明:

Firecracker は、安全でマルチテナントのコンテナと関数ベースのサービスを作成し、管理するための専用のオープンソースの仮想化テクノロジーです。Firecracker はユーザースペースで動作し、Linux カーネルベース仮想マシン (KVM) を使用して microVM を作成します。各 Firecracker MicroVM は、「jailer」と呼ばれるコンパニオンプログラムによって、一般的な Linux ユーザースペースのセキュリティバリアによってさらに隔離されています。Jailer は、ユーザーが microVM の境界から脱出した場合に備えて、第 2 の防衛線を提供するもので、Firecracker の各バージョンでリリースされます。

AWS は Firecracker jailer に関連する問題である CVE-2026-1386 を認識しています。この問題により、特定の状況下で、ユーザーがホストファイルシステム内の任意のファイルを上書きできる可能性があります。

Firecracker を使用する AWS のサービスは、ホストと jailer フォルダへのアクセスを適切に制限し、攻撃の発生に必要な前提条件をブロックしているため、この問題の影響を受けません。

影響を受けるバージョン: Firecracker バージョン v1.13.1 以前と 1.14.0

解決方法:

この問題は、Firecracker バージョン v1.14.1 と v1.13.2 で対処済みです。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

ユーザーが Firecracker バージョン v1.14.1 または v1.13.2 にアップグレードできない場合は、UNIX ユーザー権限を使用して jailer フォルダを保護し、以下のコマンド例を使用してアクセスを信頼できるユーザーのみに制限することをお勧めします。

     chown <trusted user> <jail folder path>
     chmod 700 <jail folder path>

参考情報:

• CVE-2026-1386
• GHSA-36j2-f825-qvgc

謝辞:

協調的脆弱性開示プロセスを通じてこの問題の解決に協力してくださった独立セキュリティ研究者の方に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。