【2025年12月版】MariaDBのバージョンとOSによるバックポートについて

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事は、MariaDB（MariaDB Server）のバージョンと、各種OSによるバックポート対応についてまとめたもので、2025年12月5日に執筆しています。

MariaDBはオラクル社がサポートをしているオープンソースのリレーショナルデータベース管理システム（RDBMS）であるMySQL Community Editionのフォーク（既存のソフトウェアをコピーして変更を加えた独自のバージョン）です。
※ MariaDBのバージョン情報とサポート期限についてはこちらをご覧ください。

2025年12月5日現在、MariaDB LTS版の最新バージョンは11.8であり、MariaDB公式がセキュリティサポートをしているLTS版のバージョンは、11.8、11.4、10.11、10.6の4系統のみです。
※MariaDB 10.6については、無料版（Community）のサポートが2026年7月6日に終了する予定ですので注意が必要です。
※LTS版以外で12.1も現在サポート対象ですが、該当バージョンはローリングリリースとして提供されており、次の四半期に12.2がリリースされるのに合わせてサポート終了予定のため、本番運用する場合は安定性の観点から注意が必要です。

もっとも、最新バージョンではないMariaDBを使用していても、直ちに危険な状態になるとは限りません。OSによっては、古くなったMariaDBバージョンに対しても、緊急、重大な脆弱性に対してバックポートと呼ばれる方式で修正を適用するケースがあるためです。

そこで、この記事では、企業のWeb担当者の皆さまに向けて、各OSごとのバックポート対応方針とともにご紹介することで、できるだけ安心してMariaDBを使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

バックポートとは、本来は新しいソフトウェアのバージョンで修正された脆弱性やバグ修正の内容を、最新ではないバージョンのままのパッケージに後から移植（backport）して適用する手法を指します。

すなわち、OSによっては、新しいMariaDBバージョンで修正された脆弱性やバグ対応を独自パッチとして反映（バックポート対応）することで、古いMariaDBバージョンに対しても、一定のセキュリティレベルを事実上確保している場合があります。

ただし、このバックポート対応は、各OSベンダーが「危険」と判断した重要度の高い脆弱性（たとえば緊急や重要レベル）に限定して行われるのが一般的です。

また、どのMariaDBバージョンに、どの範囲まで適用するかはOSごとに方針が異なるため、EOL後のMariaDBバージョンに公式サポートと同等の脆弱性対策が継続されること意味しているわけではありません。

したがって、最新ではないMariaDBバージョンを使用している場合は、可能な限り公式にサポートされている最新バージョンへのアップデートを行うことが推奨されることに変わりはありませんが、バックポート対応がされていれば、重要度の高い脆弱性については修正が反映されているため、一定の安心感を持って運用できるとは言えるかと思います。

Amazon Linux 2023においては、MySQLと異なり、MariaDB 10.5もPackageサポートのステータスに掲載されていますが、「MariaDB 10.5は2025年6月までセキュリティサポートを提供します」と明確に記載されていること、ALAS（Amazon Linux Advisory Security）を確認しても、2025年6月25日以降、MariaDB 10.5に対してAmazon Linux 2023がバックポートを実施したという痕跡を見つけることができなかったことから、MariaDB公式の無料版（Community）のサポート終了日（2025年6月24日）をもって、Amazon Linux 2023 における MariaDB 10.5 の実質的なサポートも終了している確率が高いと解釈しています。
※このPackageサポートのステータスの表記では、「開始日: 2025-06-24　終了日：（空欄）」と記載されていますが、通常この表の「開始日」「終了日」は アップストリーム（MariaDB 公式）のサポート開始日・終了日を指すため、「終了日：2025-06-24」と記載すべきところを誤って開始日に配置している可能性があります。また、「MariaDB 10.5のサポート期間は、メイン配布終了日とは異なります。」とも記載されていますが、メインとはメインディストリビューション（Linuxディストリビューション）であってMariaDB Foundationのことではないとも読むことが可能です。一方で、表記どおり「セキュリティサポートが継続中」と解釈することも完全には否定できないため、この点には注意が必要です。

また、PackageサポートのステータスにはMariaDB 10.11も掲載されていますが、「MariaDB 10.11 は 2028 年 2 月までセキュリティサポートを実施」と明確に記載されていること、開始日及び終了日がMariaDB公式の無料版（Community）のサポート開始日、終了日と同一であることから、Amazon Linux 2023 における MariaDB 10.5 の実質的なサポートは、MariaDB公式の無料版のサポート終了日をもって終了するものと解釈しています。
※このPackageサポートのステータスの表記では、「MariaDB 10.11 のサポート期間は、メインディストリビューションend-of-lifeとは異なります。」と記載されていますが、メインディストリビューションとはLinuxディストリビューションの事を指し、MariaDB Foundationのことではないとも読むことが可能です。一方で、「MariaDB FoundationのEOLとは異なります」と解釈することも完全には否定できないため、この点には注意が必要です。

このため、AWSのEC2内でMariaDB 10.5を使用されているケースなどでは、CVSS スコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性がバックポート対応の対象になると想定した上で、実際にALAS（Amazon Linux Advisory Security）を都度確認する運用が推奨されます。

なお、Amazon Linux 2023によるバックポートを検討するケースは、Amazon RDS for MariaDBを使用せず、EC2に独自にMariaDB 10.5ないし10.11をインストールして使用する場合のみですので、限定的なケースであることを付記しておきます。

一方で、Amazon RDS for MariaDB（AWSが管理するマネージドDBとしてのMariaDB）については、明確なパッチ適用方針が存在します。

まず、Amazon RDSのMariaDBバイナリは、MariaDB CorporationおよびMariaDB Foundationが提供するRPM/DEBパッケージではなく、MariaDBをベースとして AWSが独自ビルドしたものであることから、AWS独自のライフサイクルとパッチ適用ポリシーが存在します。

一般的には、MariaDB本家よりも長い期間サポートされる傾向がありますが、AWSの判断により早期に廃止される場合があるなど、RDSは独自のライフサイクル管理を行っています。

また、AWSが必要と判断したセキュリティ修正を、バックポートしてAmazon RDS for MariaDBに適用するため、次のような特徴を有します。

• ・MariaDB本家でEOLとなっており、パッチが出なくてもAWSが独自にパッチをバックポートすることがある
• ・バージョン番号は変わらなくても内部的にパッチが適用されていることがある
• ・アップストリームのすべての新機能を取り込むわけではなく、主にセキュリティ修正と安定性に関わるバグ修正のみが選択的に適用されている

例えば、MariaDB 10.5.29については、アップストリームでは2025年6月24日に無料版（Community）のサポートが終了していますが、Amazon RDS for MariaDBでは、2026年2月までサポートされます。

RDS for MariaDBの対応バージョンやサポート期間、マイナーアップデート、パッチ適用状況については、公式ドキュメントの 「MariaDB on Amazon RDS versions」に集約されています。

RHEL（Red Hat Enterprise Linux）9及びその互換ディストリビューション（AlmaLinux OS 9、Rocky Linux 9）では、原則として、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。
変更内容は、それぞれ、RHSA（Red Hat Security Advisory）、ALSA（AlmaLinux Security Advisory）、RLSA（Rocky Linux Security Advisory）で確認できます。

RHEL 9においては、MariaDBは10.5、10.11の2系統のみ提供されています。

Application Streamsは OS本体とは独立したライフサイクルで管理されるため、それぞれ固有の「Retirement Date」が設定されています。

• ・Retirement Date：2028年5月
• ・MariaDB公式の延長サポート終了日（2028年2月16日）より3か月ほど長いサポート期間となっています。

※「RHEL 9 Application Streams Release Life Cycle」を参照

Full Life Application Streamは、RHELのサポート期限と同一のサポートが提供されるため、Retirement DateはOSのEOLと同じになります。

• ・Retirement Date：2032年5月
• ・MariaDB公式の延長サポート終了日（2025年7月16日）より長いサポート期間となっています。

※「RHEL 9 Full Life Application Streams Release Life Cycle」参照

このように、RHEL Application Streamsのサポート期間は、必ずしもMariaDB公式のライフサイクルと一致するわけではありません。
そのため、RHEL 9上でMariaDB 10.11ないし10.5を利用している場合には、MariaDBのEOL後であっても、CVSS スコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性については、バックポート対応の対象になると想定した上で、実際にRHSA（Red Hat Security Advisory）を都度確認する運用が推奨されます。

なお、AlmaLinux OS 9およびRocky Linux 9も RHEL 9と同じSRPMソースを使用しているため、バックポート方針・修正の選定基準・対象バージョンは実質的にRHEL 9と同一です。

RHEL（Red Hat Enterprise Linux）8及びその互換ディストリビューション（AlmaLinux OS 8、Rocky Linux 8）でも、原則として、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。
変更内容は、それぞれ、RHSA（Red Hat Security Advisory）、ALSA（AlmaLinux Security Advisory）、RLSA（Rocky Linux Security Advisory）で確認できます。

RHEL 8においては、MariaDBは10.3、10.5、10.11の3系統のみ提供されています。

Application Streamsは OS本体とは独立したライフサイクルで管理されるため、それぞれ固有の「Retirement Date」が設定されています。

• ・Retirement Date：2028年5月
• ・MariaDB公式の延長サポート終了日（2028年2月16日）より3か月ほど長いサポート期間となっています。

※「RHEL 8 Application Streams Release Life Cycle」を参照

同様にApplication Streamsであり、それぞれ固有の「Retirement Date」が設定されています。

• ・Retirement Date：2026年5月
• ・MariaDB公式の延長サポート終了日（2025年7月16日）より10か月ほど長いサポート期間となっています。

※「RHEL 8 Application Streams Release Life Cycle」を参照

Full Life Application Streamは、RHELのサポート期限と同一のサポートが提供されるため、Retirement DateはOSのEOLと同じになります。

• ・Retirement Date：2029年5月
• ・MariaDB公式のサポート終了日（2023年5月25日）より長期のサポート期間となっています。

※「RHEL 8 Full Life Application Streams Release Life Cycle」参照

このように、RHEL Application Streamsのサポート期間は、必ずしもMariaDB公式のライフサイクルと一致するわけではありません。
そのため、2025年12月5日現在、RHEL 8上でMariaDB 10.11ないし10.5、10.3を利用している場合には、MariaDB公式のEOL後であっても、CVSS スコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性については、バックポート対応の対象になると想定した上で、実際にRHSA（Red Hat Security Advisory）を都度確認する運用が推奨されます。

なお、AlmaLinux OS 8およびRocky Linux 8も RHEL 8と同じSRPMソースを使用しているため、バックポート方針・修正の選定基準・対象バージョンは実質的にRHEL 8と同一です。

MariaDBのバージョンアップについては、Webアプリケーション側に不具合が発生する確率が高く、工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、MariaDBを含めたミドルウェアについては対応されていない会社も多いと思います。