速報 ID: AWS-2025-028
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 11 月 10 日 午前 10 時 15 分 (PDT)

説明:

Amazon Aurora PostgreSQL は、PostgreSQL との互換性を備えたフルマネージド型のリレーショナルデータベースエンジンです。

AWS は、CVE-2025-12967 を特定しました。これは、Amazon Aurora PostgreSQL 向け AWS Wrapper の問題で、rds_superuser ロールへの権限昇格を可能にするおそれがあります。低権限の認証済みユーザーが、他の Amazon Relational Database Service (RDS) ユーザーの許可を使って実行できるように細工された関数を作成できます。

影響を受けるバージョン:

• 2.6.5 未満の AWS JDBC Wrapper
• 2025-10-17 未満の AWS Go Wrapper
• 2.0.1 未満の AWS NodeJS Wrapper
• 1.4.0 未満の AWS Python Wrapper
• 1.0.1 未満の AWS ODBC ドライバー

解決方法:

お客様には、次のバージョンへのアップグレードが推奨されます。

• AWS JDBC Wrapper は v2.6.5 へ
• AWS Go Wrapper は 2025-10-17 へ
• AWS NodeJS Wrapper は v2.0.1 へ
• AWS Python Wrapper は v1.4.0 へ
• AWS PGSQL ODBC ドライバーは v1.0.1 へ

回避策:

検索パスからパブリックスキーマを削除します。

参考情報:

• CVE-2025-12967
• GHSA-4jvf-wx3f-2x8q
• GHSA-7xw4-g7mm-r4hh
• GHSA-q327-fgm8-7mxf
• GHSA-7wq2-32h4-9hc9
• GHSA-8wj8-cfxr-9374

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。