MariaDB Enterprise Server 11.8.6-4 GA版（リリース日：2026年6月2日）

修正されたセキュリティ脆弱性

CVE ID / CVSS基本スコア（v3.1）
CVE-2026-49261 / 10.0
CVE-2026-48165 / 8.0
CVE-2026-48163 / 8.0
CVE-2026-44168 / 8.0

wsrep_sst_rsyncには、パラメータ挿入のギャップが存在していました。これは、ジョイナーが提供したWSREP_SST_OPT_REMOTE_USERおよびWSREP_SST_OPT_REMOTE_PSWDの値を、ドナーが作成したstunnel.confおよびrsyncマジックファイルに挿入する前に検証していなかったためです。(MENT-2659)
(SUPER権限を持つ) 適切な権限を持つユーザーは、実行時に変更可能なシステム変数 wsrep_sst_donorおよびwsrep_sst_receive_addressの値が、シェルコマンドの構築に使用される時に適切にサニタイズされていなかったため、mariadbdプロセスのuidとしてシェルコマンドを実行できました。（MENT-2660）
wsrep_notify_cmd機能は、ピアから提供されたwsrep_node_nameおよびwsrep_node_incoming_addressの値を、通知コマンドラインに挿入する前に検証しなかったため、パラメータインジェクションの脆弱性の影響を受けやすかった。（MENT-2661）
ドナーノード上のwsrep_sst_mariabackupスクリプトが、ジョイナーノードによって送信されたコマンドラインパラメータを、適切な入力検証を行わずに誤って信頼し処理しました。（MENT-2673）

エンタープライズライフサイクルに合わせて、MariaDB Enterprise Server 11.8.6-4は以下に対して提供されます：

AlmaLinux 8 (x86_64, ARM64)
AlmaLinux 9 (x86_64, ARM64)
AlmaLinux 10 (x86_64, ARM64)
Debian 11 (x86_64, ARM64)
Debian 12 (x86_64, ARM64)
Debian 13 (x86_64, ARM64)
Oracle Linux 8 (x86_64, ARM64)
Oracle Linux 9 (x86_64, ARM64)
Oracle Linux 10 (x86_64, ARM64)
Red Hat Enterprise Linux 8 (x86_64, ARM64)
Red Hat Enterprise Linux 9 (x86_64, ARM64, PPC64LE)
Red Hat Enterprise Linux 10 (x86_64, ARM64)
Rocky Linux 8 (x86_64, ARM64)
Rocky Linux 9 (x86_64, ARM64)
Rocky Linux 10 (x86_64, ARM64)
SUSE Linux Enterprise Server 15 (x86_64, ARM64)
Ubuntu 22.04 (x86_64, ARM64)
Ubuntu 24.04 (x86_64, ARM64)
Microsoft Windows (x86_64) (MariaDB Enterprise Cluster (Galera) サポート無し)
Red Hat UBI 8 (x86_64, ARM64)
- Red Hat UBI 8 は Enterprise Server Docker イメージの一部です。MariaDB Enterprise Cluster (Galera) および MariaDB ColumnStore はサポートされていません。

MariaDB Enterprise Serverの一部のコンポーネントは、プラットフォームのサブセットでサポートされています。詳細については、MariaDB Engineering Policiesを参照してください。

MariaDB Enterprise Server 11.8.6-4 リリースノート（MariaDB社ウェブサイト）：
https://mariadb.com/docs/release-notes/enterprise-server/11.8/11.8.6-4

MariaDB
MariaDBプロダクト・サポート・サービスは、MariaDBおよびその関連製品をご利用されているお客様へ、必要なソフトウェアや専門的なサポートなどを提供するサービスです。