公告 ID：2026-015-AWS
範圍：AWS
內容類型：重要
發布日期：2026 年 4 月 7 日下午 3:30 (太平洋標準時間)

描述：

Firecracker 是一套開放原始碼的虛擬化技術，專為建立與管理安全的多租戶容器及函式型服務而設計。

我們已確認 CVE-2026-5747 漏洞，該漏洞存在於 Firecracker 1.13.0 至 1.14.3 版本以及 1.15.0 版本 (適用於 x86_64 與 aarch64 架構) 的 virtio PCI 傳輸層中，屬於越界寫入問題。此漏洞可能允許具備 root 權限的本地訪客使用者，在裝置啟動後透過修改 virtio 佇列組態暫存器，損毀 Firecracker VMM 程序，或可能在主機上執行任意程式碼。要在主機上成功執行程式碼還需要滿足其他先決條件，例如使用自訂的訪客核心或特定的快照組態。

AWS 服務不受影響。

受影響版本：Firecracker >= 1.13.0 和 <= 1.14.3，以及1.15.0

解決方案：

此問題在 Firecracker 版本 1.14.4 和 1.15.1 中已獲解決。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法
virtio PCI 傳輸層為選擇性啟用，需在啟動 Firecracker 時加上 --enable-pci 命令列旗標舊版 MMIO 傳輸層為預設選項，且不受此問題影響。已啟用 PCI 傳輸層的使用者，可移除其 Firecracker 調用中的 --enable-pci 旗標，即可切換回 MMIO 傳輸層。請注意，從 PCI 切換至 MMIO 傳輸層可能會導致 I/O 輸送量下降並增加延遲。

參考資料
CVE-2026-5747
GHSA-776c-mpj7-jm3r

致謝
我們感謝 Anthropic 向 AWS 漏洞披露計畫團隊報告此問題。

 

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。