ID du bulletin : 2026-024-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 30/04/2026 à 11 h 45 (heure du Pacifique)
 

Description :

Amazon Elastic Container Service (Amazon ECS) est un service d’orchestration de conteneurs entièrement géré qui permet aux clients de déployer, de gérer et de mettre à l’échelle des applications conteneurisées. L’agent Amazon ECS prend en charge le montage de volumes FSx pour Windows File Server dans les définitions de tâches des instances Windows EC2. Nous avons identifié CVE-2026-7461, un problème d’injection de commandes dans le montage de volumes FSx qui permet l’exécution de code avec les privilèges SYSTEM via des informations d’identification spécialement forgées dans les définitions de tâches ECS.

Versions concernées : 1.47.0 à 1.102.2 de l’agent ECS pour Windows

Résolution :

Ce problème ne concerne que les instances de nœuds de travail Windows d’ECS. ECS sur Fargate n’est pas affecté. Ce problème a été résolu dans la version 1.103.0 de l’agent ECS. Nous vous recommandons de passer à la dernière AMI Windows optimisée pour Amazon ECS avec une version mise à jour de l’agent ECS.

Solutions de contournement :

Les clients qui ne peuvent pas effectuer la mise à jour vers la dernière AMI peuvent restreindre les autorisations ecs:RegisterTaskDefinition aux seuls principaux IAM approuvés et restreindre l’accès en écriture aux secrets Secrets Manager référencés dans les configurations de volume FSx.

Références :

• CVE-2026-7461
• GHSA-fc67-c4hg-q653

Remerciements :

Nous tenons à remercier Sachin Patil pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.