공지 ID: 2026-003-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 1월 23일 오후 12시 30분(PST)
 

설명:

Firecracker는 안전한 멀티테넌트 컨테이너 및 함수 기반 서비스를 만들고 관리하도록 특별히 구축된 오픈 소스 시각화 기술입니다. Firecracker는 사용자 스페이스에서 실행되며 Linux 커널 기반 가상 머신(KVM)을 사용하여 microVM을 생성합니다. 각 Firecracker MicroVM은 ‘jailer’라는 보조 프로그램을 통한 일반적인 Linux 사용자 스페이스 보안 장벽을 사용하여 격리를 강화합니다. Jailer는 사용자가 microVM 범위를 벗어나 각 Firecracker 버전에서 해제되는 경우에 대비하여 2차 방어선을 제공합니다.

Firecracker jailer와 관련된 CVE-2026-1386 문제를 인지하였습니다. 이 문제로 인해 특정 상황에서 사용자가 호스트 파일 시스템의 임의 파일을 덮어쓸 수 있습니다.

AWS 서비스는 Firecracker를 사용하여 호스트와 jailer 폴더에 대한 액세스를 적절하게 제한하고 공격 발생에 필요한 사전 조건을 차단하므로 문제의 영향을 받지 않습니다.

영향을 받는 버전: Firecracker v1.13.1 이전 버전 및 v1.14.0 버전

해결 방법:

이 문제는 Firecracker v1.14.1 및 v1.13.2 버전에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

사용자가 Firecracker v1.14.1 또는 v1.13.2 버전으로 업그레이드할 수 없는 경우, 다음 예시 명령어를 사용해 UNIX 사용자 권한으로 jailer 폴더를 보호하고, 신뢰할 수 있는 사용자에게만 접근하도록 제한할 것을 권장합니다.

     chown <trusted user> <jail folder path>
     chmod 700 <jail folder path>

참고 사항:

• CVE-2026-1386
• GHSA-36j2-f825-qvgc

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제에 대해 협력해 주신 개인 보안 연구원에게 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.