公告 ID：2026-006-AWS
范围：AWS
内容类型：信息性
发布日期：2026 年 3 月 3 日上午 10:15（太平洋标准时间）
 

描述：

Amazon RDS/Aurora 是一项托管式关系数据库服务。我们识别到 CVE‑2026‑3494 漏洞。在 11.8.5 及之前版本的 MariaDB 服务器中，当启用服务器审计插件，且 server_audit_events 变量配置了 QUERY_DCL、QUERY_DDL 或 QUERY_DML 筛选规则时，如果经过身份验证的数据库用户调用以双连字符（--）或井号（#）样式注释为前缀的 SQL 语句，该语句不会被记录。

受影响的版本：

• MariaDB 服务器（10.6.24 及更早版本、10.11.15 及更早版本、11.4.9 及更早版本，以及 11.8.5 及更早版本）
• Amazon Aurora MySQL（2.12.5 及更早版本、3.01.0 至 3.04.5、3.05.1 至 3.10.2，以及 3.11.0）
• Amazon RDS for MySQL（5.7.44-RDS.20251212 及更早版本、8.0.11 至 8.0.44，以及 8.4.3 至 8.4.7）
• Amazon RDS for MariaDB（10.6.24 及更早版本、10.11.4 至 10.11.15、11.4.3 至 11.4.9，以及 11.8.3 至 11.8.5）

解决方法：

该问题已在以下版本中予以解决：

• Amazon Aurora MySQL（2.12.6、3.04.6、3.10.3 和 3.11.1）
• Amazon RDS for MySQL（5.7.44-RDS.20260212、8.0.45 和 8.4.8）
• Amazon RDS for MariaDB（10.6.25、10.11.16、11.4.10 和 11.8.6）

建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

没有已知的临时措施。

参考：

• CVE-2026-3494
   

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。