速報 ID: 2026-015-AWS
対象範囲: AWS
コンテンツタイプ: 重要
発行日: 2026 年 4 月 7 日 午後 3 時 30 分 (PST)

説明:

Firecracker は、安全でマルチテナントのコンテナと関数ベースのサービスを作成し、管理するための専用のオープンソースの仮想化テクノロジーです。

当社は、Firecracker 1.13.0～1.14.3 および 1.15.0 (x86_64 および aarch64 上) の virtio PCI トランスポートにおける境界外書き込みの問題である CVE-2026-5747 を特定しました。この脆弱性により、ルート特権を持つローカルゲストユーザーが、デバイスのアクティブ化後に virtio キュー設定レジスタの変更を介して、Firecracker VMM プロセスをクラッシュさせたり、ホスト上で任意のコードを実行したりできるようになる可能性があります。ホスト上でコードを実行するには、カスタムゲストカーネルの使用や特定のスナップショット設定など、追加の前提条件が必要です。

影響を受ける AWS サービスはありません。

影響を受けるバージョン: Firecracker 1.13.0～1.14.3 および 1.15.0

解決方法:

この問題は、Firecracker バージョン 1.14.4 と 1.15.1 で対処済みです。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策
virtio PCI トランスポートは、Firecracker の起動時の --enable-pci コマンドラインフラグを介したオプトインです。従来の MMIO トランスポートはデフォルトであり、この問題の影響を受けません。PCI トランスポートを有効にしているユーザーは、Firecracker の呼び出しから --enable-pci フラグを削除することで MMIO に戻すことができます。PCI から MMIO トランスポートに切り替えると、I/O スループットの低下およびレイテンシーの増大が生じる可能性があることに留意してください。

参考情報
CVE-2026-5747
GHSA-776c-mpj7-jm3r

謝辞
この懸念を AWS 脆弱性開示プログラムに報告してくださった Anthropic に感謝いたします。

 

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。