速報 ID: 2026-013-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 3 日 午後 1 時 (PST)

説明:

Amazon Athena ODBC ドライバーは、標準の ODBC アプリケーションプログラミングインターフェイス (API) を実装しています。ODBC ドライバーは、あらゆる C/C++ アプリケーションから Amazon Athena へのアクセスを提供します。Amazon Athena ODBC ドライバーは、Windows、Linux、および Mac オペレーティングシステム向けに 64 ビット ODBC ドライバーを提供します。

AWS は次のことを特定しました。

• CVE-2026-5485: ブラウザベースの認証コンポーネントにおける OS コマンドインジェクション (Linux のみ、バージョン 2.0.5.1 で修正済み)
• CVE-2026-35558: 認証コンポーネントにおける特殊要素の不適切な無害化
• CVE-2026-35559: クエリ処理コンポーネントにおける境界外書き込み
• CVE-2026-35560: ID プロバイダー接続コンポーネントにおける不適切な証明書検証
• CVE-2026-35561: ブラウザベースの認証コンポーネントにおける不十分な認証セキュリティコントロール
• CVE-2026-35562: 解析コンポーネントにおけるリソースの無制限割り当て
  

影響を受けるバージョン: CVE-2026-5485 はバージョン 2.0.5.1 (Linux のみ) で対処されました。残りの 5 件 (CVE-2026-35558～CVE-2026-35562) はバージョン 2.1.0.0 で対処済みであり、サポートされているすべてのプラットフォームに適用されます

解決方法:

この問題は、Amazon Athena ODBC ドライバーバージョン 2.1.0.0 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策
利用可能な回避策はありません。

参考情報:

Windows – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Windows/AmazonAthenaODBC-2.1.0.0.msi
Linux – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm
macOS 64 ビット (ARM) – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/arm/AmazonAthenaODBC-2.1.0.0_arm.pkg
macOS 64 ビット (インテル) – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/Intel/AmazonAthenaODBC-2.1.0.0_x86.pkg

 

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。