速報 ID: 2026-006-AWS
対象範囲: AWS
コンテンツタイプ: 情報提供
発行日: 2026 年 3 月 3 日 午前 10 時 15 分 PST
 

説明:

Amazon RDS/Aurora はマネージド型のリレーショナルデータベースサービスです。AWS では CVE-2026-3494 を特定しました。バージョン 11.8.5 以前の MariaDB サーバーにおいて、QUERY_DCL、QUERY_DDL、または QUERY_DML フィルタリングが設定された server_audit_events 変数を用いてサーバー監査プラグインが有効となっている場合、認証済みのデータベースユーザーがダブルハイフン (—) またはハッシュ (#) スタイルのコメントをプレフィックスとして使用する SQL ステートメントを呼び出しても、ステートメントがログに記録されません。

影響を受けるバージョン:

• MariaDB サーバー (10.6.24 以前、10.11.15 以前、11.4.9 以前、11.8.5 以前)
• Amazon Aurora MySQL (2.12.5 以前、3.01.0～3.04.5、3.05.1～3.10.2、3.11.0)
• Amazon RDS for MySQL (5.7.44-RDS.20251212 以前、8.0.11～8.0.44、8.4.3～8.4.7)
• Amazon RDS for MariaDB (10.6.24 以前、10.11.4～10.11.15、11.4.3～11.4.9、11.8.3～11.8.5)

解決方法:

この問題は、以下のバージョンで解決済みです。

• Amazon Aurora MySQL (2.12.6、3.04.6、3.10.3、3.11.1)
• Amazon RDS for MySQL (5.7.44-RDS.20260212、8.0.45、8.4.8)
• Amazon RDS for MariaDB (10.6.25、10.11.16、11.4.10、11.8.6)

最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

既知の回避策はありません。

リファレンス:

• CVE-2026-3494
   

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。