공지 ID: 2026-015-AWS
범위: AWS
콘텐츠 유형: 중요
게시일: 2026년 4월 7일 오후 3시 30분(PST)

설명:

Firecracker는 안전한 멀티테넌트 컨테이너 및 함수 기반 서비스를 만들고 관리하도록 특별히 구축된 오픈 소스 시각화 기술입니다.

Firecracker 1.13.0부터 1.14.3 및 1.15.0 버전(x86_64 및 aarch64 아키텍처)에서 virtio PCI 전송의 범위를 벗어난 쓰기 문제인 CVE-2026-5747을 확인했습니다. 이 취약성으로 인해 루트 권한을 가진 로컬 게스트 사용자가 디바이스 활성화 후 virtio 대기열 구성 레지스터를 수정하여 Firecracker VMM 프로세스와 충돌하거나 호스트에서 임의 코드를 실행할 수 있습니다. 호스트에서 코드를 실행하려면 사용자 지정 게스트 커널 또는 특정 스냅샷 구성 사용과 같은 추가 전제 조건이 필요합니다.

AWS 서비스는 영향을 받지 않습니다.

영향을 받는 버전: Firecracker 1.13.0 및 이전 버전, 1.14.3 및 이전 버전, 1.15.0 버전

해결 방법:

이 문제는 Firecracker 1.14.4 및 1.15.1 버전에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안
virtio PCI 전송은 Firecracker를 시작할 때 --enable-pci 명령줄 플래그를 통해 옵트인할 수 있습니다. 기존 MMIO 전송이 기본값이며 이 문제의 영향을 받지 않습니다. PCI 전송을 활성화한 사용자는 Firecracker 호출에서 --enable-pci 플래그를 제거하여 MMIO로 되돌릴 수 있습니다. 참고로 PCI에서 MMIO 전송으로 전환하면 I/O 처리량이 감소하고 지연 시간이 늘어날 수 있습니다.

참고 사항
CVE-2026-5747
GHSA-776c-mpj7-jm3r

도움을 주신 분
AWS 취약성 공개 프로그램에 이 문제를 보고해 주신 Anthropic에 감사합니다.

 

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.