Обход обхода плагина аудита сервера MariaDB

Идентификатор бюллетеня: 2026-006-AWS Область действия: AWS Тип контента: Информационный Дата публикации: 2026/03/03 10:15 утра по тихоокеанскому стандартному времени Описание: Amazon RDS/Aurora - это управляемая реляционная база данных. Мы определили CVE-2026-3494. В версии сервера MariaDB до 11.8.5, когда включен плагин аудита сервера с переменной server_audit_events, настроенной с фильтрацией QUERY_DCL, QUERY_DDL или QUERY_DML, если аутентифицированный пользователь базы данных вызывает SQL-выражение, начинающееся с комментариев в стиле двойного дефиса (‐‐) или хэша (#), выражение не регистрируется. Пострадавшие версии: - Сервер MariaDB (10.6.24 и более ранние, 10.11.15 и более ранние, 11.4.9 и более ранние, и 11.8.5 и более ранние) - Amazon Aurora MySQL (2.12.5 и более ранние, 3.01.0 до 3.04.5, 3.05.1 до 3.10.2 и 3.11.0) - Amazon RDS для MySQL (5.7.44-RDS.20251212 и более ранние, 8.0.11 до 8.0.44 и 8.4.3 до 8.4.7) - Amazon RDS для MariaDB (10.6.24 и более ранние, 10.11.4 до 10.11.15, 11.4.3 до 11.4.9 и 11.8.3 до 11.8.5) Пожалуйста, обратитесь к статье ниже для получения наиболее актуальной и полной информации, связанной с этим бюллетенем безопасности AWS.