佈告欄 ID：2026-003-AWS
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2026 年 1 月 23 日 12:30 (太平洋標準時間)
 

描述：

Firecracker 是一種開放原始碼虛擬化技術，專為建立和管理安全多租用戶容器和函數型服務所設計。Firecracker 在使用者空間中執行，並使用 Linux 核心基礎虛擬機器 (KVM) 來建立微虛擬機器。每個 Firecracker 微虛擬機器都透過名為「Jailer」的輔助程式與一般 Linux 使用者空間安全障礙進一步隔離。Jailer 提供了第二條防禦線，以防使用者離開微虛擬機器界線，並且在每個 Firecracker 版本中均有發布。

我們已注意到 CVE-2026-1386，這是一個與 Firecracker Jailer 有關的問題，可能導致使用者在某些情況下可以覆寫主機檔案系統中的任意檔案。

使用 Firecracker 的 AWS 服務不受此問題的影響，因為我們適當地限制了對主機和 Jailer 資料夾的存取，阻止攻擊發生的先決條件。

受影響的版本：Firecracker 版本 v1.13.1 及更早版本，以及 1.14.0

解決方案：

此問題在 Firecracker 版本 v1.14.1 和 v1.13.2 中已獲解決。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補以包含新的修正。

解決方法：

如果使用者無法升級到 Firecracker 版本 v1.14.1 或 v1.13.2，我們建議使用 UNIX 使用者許可保護 Jailer 資料夾，將其存取權限制為僅可信使用者。具體操作可參考以下範例命令。

     chown <trusted user> <jail folder path>
     chmod 700 <jail folder path>

參考資料：

• CVE-2026-1386
• GHSA-36j2-f825-qvgc

致謝：

我們誠摯感謝獨立安全研究員透過協調的漏洞披露程序，與我們協作解決此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。