公告 ID：2026-013-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 3 日下午 1:00（太平洋标准时间）

描述：

Amazon Athena ODBC 驱动程序实现了标准的 ODBC 应用程序编程接口（API）。ODBC 驱动程序允许从任何 C/C++ 应用程序访问 Amazon Athena。Amazon Athena ODBC 驱动程序为 Windows、Linux 和 MAC 操作系统提供 64 位 ODBC 驱动程序。

我们发现了以下漏洞：

• CVE-2026-5485：基于浏览器的身份验证组件中的操作系统命令注入（仅限 Linux，已在 2.0.5.1 中修复）
• CVE-2026-35558：身份验证组件中的特殊元素未进行适当的转义处理
• CVE-2026-35559：查询处理组件中的越界写入
• CVE-2026-35560：身份提供商连接组件中的证书验证不正确
• CVE-2026-35561：基于浏览器的身份验证组件中的身份验证安全控制不足
• CVE-2026-35562：在解析组件中不受限制地分配资源
  

受影响的版本：CVE-2026-5485 已在 2.0.5.1 中得到解决（仅限 Linux）。其余五个（CVE-2026-35558 到 CVE-2026-35562）已在 2.1.0.0 版本中得到解决，适用于所有支持的平台

解决方法：

此问题已在 Amazon Athena ODBC 驱动程序版本 2.1.0.0 中得到解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施
目前没有可用的临时措施。

参考：

Windows – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Windows/AmazonAthenaODBC-2.1.0.0.msi
Linux – https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm
macOS 64 位（ARM）– https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/arm/AmazonAthenaODBC-2.1.0.0_arm.pkg
macOS 64 位（Intel）– https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/Intel/AmazonAthenaODBC-2.1.0.0_x86.pkg

 

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。