ID bollettino: 2026-006-AWS
Ambito: AWS
Tipo di contenuto: informazioni
Data di pubblicazione: 03/03/2026 10:15 PST
 

Descrizione:

Amazon RDS/Aurora è un servizio di database relazionale gestito. Abbiamo identificato CVE-2026-3494. Nelle versioni del server MariaDB fino alla 11.8.5, quando il plugin di audit del server è abilitato e la variabile server_audit_events è configurata con il filtro QUERY_DCL, QUERY_DDL o QUERY_DML, le istruzioni SQL precedute da commenti in stile doppio trattino (—) o hash (#) non vengono registrate se richiamate da un utente autenticato del database.

Versioni interessate:

• MariaDB Server (10.6.24 e precedenti, 10.11.15 e precedenti, 11.4.9 e precedenti e 11.8.5 e precedenti)
• Amazon Aurora MySQL (2.12.5 e versioni precedenti, da 3.01.0 a 3.04.5, da 3.05.1 a 3.10.2 e 3.11.0)
• Amazon RDS per MySQL (5.7.44-RDS.20251212 e versioni precedenti, da 8.0.11 a 8.0.44 e da 8.4.3 a 8.4.7)
• Amazon RDS per MariaDB (10.6.24 e versioni precedenti, da 10.11.4 a 10.11.15, da 11.4.3 a 11.4.9 e da 11.8.3 a 11.8.5)

Risoluzione:

Questo problema è stato risolto nelle seguenti versioni:

• Amazon Aurora MySQL (2.12.6, 3.04.6, 3.10.3 e 3.11.1)
• Amazon RDS per MySQL (5.7.44-RDS.20260212, 8.0.45 e 8.4.8)
• Amazon RDS per MariaDB (10.6.25, 10.11.16, 11.4.10 e 11.8.6)

Per incorporare le nuove correzioni, ti consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarti che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

non sono note soluzioni alternative.

Riferimento:

• CVE-2026-3494
   

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.