Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 23.07.2025, 8:30 Uhr PDT

Beschreibung:

AWS Client VPN ist ein verwalteter clientbasierter VPN-Service, der den sicheren Zugriff auf AWS- und On-Premises-Ressourcen ermöglicht. Die Client-Software von AWS Client VPN wird auf den Endbenutzergeräten ausgeführt. Sie unterstützt Windows, macOS und Linux und ermöglicht es den Endbenutzern, einen sicheren Tunnel zum AWS Client VPN Service aufzubauen.

Wir haben CVE-2025-8069 identifiziert, ein Problem in AWS Client VPN. Während der Client-Installation von AWS Client VPN auf Windows-Geräten verweist der Installationsprozess auf das Verzeichnis C:\usr\local\windows-x86_64-openssl-localbuild\ssl, um die OpenSSL-Konfigurationsdatei abzurufen. Dadurch könnte ein Nicht-Administrator beliebigen Code in der Konfigurationsdatei platzieren. Wenn ein Admin-Benutzer den Installationsprozess des AWS-Client-VPN-Clients startet, könnte dieser Code mit Root-Rechten ausgeführt werden. Dieses Problem betrifft Linux- oder Mac-Geräte nicht.

Betroffene Version: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

Lösung:

Dieses Problem wurde in Version 5.2.2 des AWS-Client-VPN-Clients behoben. Wir empfehlen Benutzern, Neuinstallationen von AWS Client VPN unter Windows vor der Version 5.2.2 nicht mehr zu verwenden.

Umgehungslösung:

–

Verweise:

• CVE-2025-8069

Danksagung:

Wir möchten Zero Day Initiative für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.