ID do boletim: 2026-006-AWS
Escopo: AWS
Tipo de conteúdo: Informativo
Data de publicação: 03/03/2026 10:15 PST
 

Descrição:

O Amazon RDS/Aurora é um serviço de banco de dados relacional gerenciado. Identificamos o CVE-2026-3494. Na versão do MariaDB Server até 11.8.5, quando o plug-in de auditoria do servidor está habilitado com a variável server_audit_events configurada com filtragem QUERY_DCL, QUERY_DDL ou QUERY_DML, se um usuário autenticado do banco de dados invocar uma instrução SQL prefixada com comentários do tipo duplo hífen (—) ou símbolo de hash (#), a instrução não é registrada.

Versões afetadas:

• Servidor MariaDB (10.6.24 e anteriores, 10.11.15 e anteriores, 11.4.9 e anteriores e 11.8.5 e anteriores)
• Amazon Aurora MySQL (2.12.5 e anteriores, 3.01.0 a 3.04.5, 3.05.1 a 3.10.2 e 3.11.0)
• Amazon RDS para MySQL (5.7.44-RDS.20251212 e anteriores, 8.0.11 a 8.0.44 e 8.4.3 a 8.4.7)
• Amazon RDS para MariaDB (10.6.24 e anteriores, 10.11.4 a 10.11.15, 11.4.3 a 11.4.9 e 11.8.3 a 11.8.5)

Resolução:

Este problema foi abordado nas seguintes versões:

• Amazon Aurora MySQL (2.12.6, 3.04.6, 3.10.3 e 3.11.1)
• Amazon RDS para MySQL (5.7.44-RDS.20260212, 8.0.45 e 8.4.8)
• Amazon RDS para MariaDB (10.6.25, 10.11.16, 11.4.10 e 11.8.6)

Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Não há soluções alternativas conhecidas.

Referência:

• CVE-2026-3494
   

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.