速報 ID: 2026-039-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 5 日 午後 12 時 15 分 (PDT)

説明:

Amazon Aurora PostgreSQL は、PostgreSQL との互換性を備えたフルマネージド型のリレーショナルデータベースエンジンです。

AWS は、CVE-2026-11400 (JDBC) と CVE-2026-11401 (Go) を特定しました。これは、Amazon Aurora PostgreSQL 向け AWS Wrapper の問題で、rds_superuser ロールへの権限昇格を可能にします。低権限の認証済みユーザーが、他の Amazon Relational Database Service (RDS) ユーザーの許可を使って実行できるように細工された関数を作成できます。

影響を受けるバージョン:

• AWS Advanced JDBC Wrapper >=3.0.0 および < 4.0.1
• AWS Advanced Go Wrapper リリース 2026-04-06

解決方法:

この問題は AWS Advanced JDBC Wrapper バージョン 4.0.1 と AWS Advanced Go Wrapper リリース 2026-05-26 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

• 検索パスからパブリックスキーマを削除します。

参考情報:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。

.