공지 ID: 2026-039-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 5일 오후 12시 15분(PDT)

설명:

Amazon Aurora PostgreSQL은 PostgreSQL과 호환되는 완전관리형 관계형 데이터베이스 엔진입니다.

Amazon Aurora PostgreSQL용 AWS Wrappers에서 rds_superuser 역할로의 권한 에스컬레이션을 허용할 수 있는 CVE-2026-11400(JDBC) 및 CVE-2026-11401(Go) 문제를 확인했습니다. 낮은 권한의 인증된 사용자가 다른 Amazon Relational Database Service(RDS) 사용자의 권한으로 실행될 수 있는 조작된 함수를 생성할 수 있습니다.

영향을 받는 버전:

• AWS Advanced JDBC Wrapper 3.0.0 이상 버전 및 4.0.1 미만 버전
• AWS Advanced Go Wrapper 2026년 4월 6일 출시 버전

해결 방법:

이 문제는 AWS Advanced JDBC Wrapper 버전 4.0.1 및 AWS Advanced Go Wrapper 2026년 5월 26일 출시 버전에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

• 검색 경로에서 공개 스키마를 제거합니다.

참고 사항:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.

.