公告 ID：2026-015-AWS
范围：AWS
内容类型：重要
发布日期：2026 年 4 月 7 日下午 3:30（太平洋标准时间）

描述：

Firecracker 是一种开源虚拟化技术，专门用于创建和管理安全的多租户容器及基于功能的服务。

我们发现了 CVE-2026-5747 漏洞，在 x86_64 和 aarch64 上的 Firecracker 1.13.0 至 1.14.3 和 1.15.0 中，进行 virtio PCI 传输时存在一个越界写入问题，可能会允许具有 root 权限的本地访客用户在设备激活后，通过修改 virtio 队列配置寄存器在主机上执行任意代码。在主机上实现代码执行需要额外的先决条件，例如使用自定义客户机内核或特定的快照配置。

没有 AWS 服务会受到影响。

受影响的版本：Firecracker >= 1.13.0 和 <= 1.14.3 和 1.15.0

解决方法：

此问题已在 Firecracker 版本 1.14.4 和 1.15.1 中得到解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施
启动 Firecracker 时，可通过 --enable-pci 命令行标志选择加入 virtio PCI 传输。传统的 MMIO 传输是默认传输，不受此问题的影响。启用 PCI 传输的用户可以通过从 Firecracker 调用中移除 --enable-pci 标志来恢复到 MMIO。请注意，从 PCI 切换到 MMIO 传输可能会导致 I/O 吞吐量降低和延迟增加。

参考
CVE-2026-5747
GHSA-776c-mpj7-jm3r

致谢
我们感谢 Anthropic 向 AWS 漏洞披露计划报告这一问题。

 

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。