공지 ID: AWS-2025-028
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 11월 10일 오전 10시 15분(PDT)

설명:

Amazon Aurora PostgreSQL은 PostgreSQL과 호환되는 완전관리형 관계형 데이터베이스 엔진입니다.

CVE-2025-12967 문제를 확인했습니다. Amazon Aurora PostgreSQL용 AWS 래퍼에서 발견된 이 문제로 인해 공격자는 권한 상승을 통해 rds_superuser 역할을 획득할 수 있습니다. 낮은 권한의 인증된 사용자가 다른 Amazon Relational Database Service(RDS) 사용자의 권한으로 실행될 수 있는 조작된 함수를 생성할 수 있습니다.

영향을 받는 버전:

• AWS JDBC 래퍼: 2.6.5 미만
• AWS Go 래퍼: 2025-10-17 미만
• AWS NodeJS 래퍼: 2.0.1 미만
• AWS Python 래퍼: 1.4.0 미만
• AWS ODBC 드라이버: 1.0.1 미만

해결 방법:

고객은 다음 버전으로 업그레이드하는 것이 좋습니다.

• AWS JDBC 래퍼: v2.6.5
• AWS Go 래퍼: 2025-10-17
• AWS NodeJS 래퍼: v2.0.1
• AWS Python 래퍼: v1.4.0
• AWS PGSQL ODBC 드라이버: v1.0.1

대안:

검색 경로에서 공개 스키마를 제거합니다.

참고 사항:

• CVE-2025-12967
• GHSA-4jvf-wx3f-2x8q
• GHSA-7xw4-g7mm-r4hh
• GHSA-q327-fgm8-7mxf
• GHSA-7wq2-32h4-9hc9
• GHSA-8wj8-cfxr-9374

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.