ID du bulletin : 2026-006-AWS
Étendue : AWS
Type de contenu : informatif
Date de publication : 03/03/2026 à 10 h 15 (heure standard du Pacifique)
 

Description :

Amazon RDS/Aurora est un service de base de données relationnelle géré. Nous avons identifié le problème CVE-2026-3494. Dans MariaDB Server 11.8.5 et versions antérieures, lorsque le plug-in d’audit de serveur est activé avec la variable server_audit_events configurée avec le filtrage QUERY_DCL, QUERY_DDL ou QUERY_DML, si un utilisateur de base de données authentifié invoque une instruction SQL préfixée par des symboles de commentaire de style double tiret (—) ou dièse (#), l’instruction n’est pas enregistrée.

Versions affectées :

• MariaDB Server (10.6.24 et versions antérieures, 10.11.15 et versions antérieures, 11.4.9 et versions antérieures, et 11.8.5 et versions antérieures)
• Amazon Aurora MySQL (2.12.5 et versions antérieures, 3.01.0 à 3.04.5, 3.05.1 à 3.10.2 et 3.11.0)
• Amazon RDS for MySQL (5.7.44-RDS.20251212 et versions antérieures, 8.0.11 à 8.0.44 et 8.4.3 à 8.4.7)
• Amazon RDS for MariaDB (10.6.24 et versions antérieures, 10.11.4 à 10.11.15, 11.4.3 à 11.4.9 et 11.8.3 à 11.8.5)

Résolution :

Ce problème a été résolu dans les versions suivantes :

• Amazon Aurora MySQL (2.12.6, 3.04.6, 3.10.3 et 3.11.1)
• Amazon RDS for MySQL (5.7.44-RDS.20260212, 8.0.45 et 8.4.8)
• Amazon RDS for MariaDB (10.6.25, 10.11.16, 11.4.10 et 11.8.6)

Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.

Solutions de contournement :

Il n’existe aucune solution de contournement connue.

Référence :

• CVE-2026-3494
   

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.