Bulletin-ID: 2026-006-AWS
Geltungsbereich: AWS
Inhaltstyp: Informativ
Datum der Veröffentlichung: 03.03.2026, 10.15 Uhr PST
 

Beschreibung:

Amazon RDS/Aurora ist ein verwalteter Service für relationale Datenbanken. Wir haben CVE-2026-3494 identifiziert. Wenn in MariaDB-Serverversionen bis 11.8.5 das Server-Audit-Plugin mit der Variablen server_audit_events mit konfigurierter QUERY_DCL-, QUERY_DDL- oder QUERY_DML-Filterung aktiviert ist und ein authentifizierter Datenbankbenutzer eine SQL-Anweisung aufruft, der ein Kommentar mit doppeltem Bindestrich (—) oder Hash-Zeichen (＃) vorangestellt ist, wird die Anweisung nicht protokolliert.

Betroffene Versionen:

• MariaDB Server (10.6.24 und früher, 10.11.15 und früher, 11.4.9 und früher sowie 11.8.5 und früher)
• Amazon Aurora MySQL (2.12.5 und früher, 3.01.0 bis 3.04.5, 3.05.1 bis 3.10.2 sowie 3.11.0)
• Amazon RDS für MySQL (5.7.44-RDS.20251212 und früher, 8.0.11 bis 8.0.44 sowie 8.4.3 bis 8.4.7)
• Amazon RDS für MariaDB (10.6.24 und früher, 10.11.4 bis 10.11.15, 11.4.3 bis 11.4.9 sowie 11.8.3 bis 11.8.5)

Behebung:

Dieses Problem wurde in den folgenden Versionen behoben:

• Amazon Aurora MySQL (2.12.6, 3.04.6, 3.10.3 und 3.11.1)
• Amazon RDS für MySQL (5.7.44-RDS.20260212, 8.0.45 und 8.4.8)
• Amazon RDS für MariaDB (10.6.25, 10.11.16, 11.4.10 und 11.8.6)

Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Fehlerbehebungen integriert sind.

Problemumgehungen:

Es sind keine Problemumgehungen bekannt.

Referenz:

• CVE-2026-3494
   

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.