Bulletin-ID: 2026-039-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 05.06.2026, 12.15 Uhr PDT

Beschreibung:

Amazon Aurora PostgreSQL ist eine vollständig verwaltete relationale Datenbank-Engine, die mit PostgreSQL kompatibel ist.

Wir haben die Schwachstellen CVE-2026-11400 (JDBC) und CVE-2026-11401 (Go) identifiziert, ein Problem in AWS Wrappers für Amazon Aurora PostgreSQL, das eine Rechteausweitung auf die Rolle rds_superuser ermöglicht. Ein authentifizierter Benutzer mit geringen Rechten kann eine speziell gestaltete Funktion erstellen, die mit den Berechtigungen anderer Benutzer von Amazon Relational Database Service (RDS) ausgeführt werden kann.

Betroffene Versionen:

• AWS Advanced JDBC Wrapper >=3.0.0 und < 4.0.1
• Release 2026-04-06 von AWS Advanced Go Wrapper

Lösung:

Dieses Problem wurde in der Version 4.0.1 von AWS Advanced JDBC Wrapper und im Release 2026-05-26 von AWS Advanced Go Wrapper behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Problemumgehungen:

• Entfernen Sie das öffentliche Schema aus dem Suchpfad.

Referenzen:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.

.