Date de publication : 16/07/2024 à 15 h 30 (heure du Pacifique)
AWS a connaissance des problèmes CVE-2024-30164 et CVE-2024-30165 dans AWS Client VPN. Ces problèmes pourraient permettre à un acteur ayant accès à l’appareil d’un utilisateur final de passer aux privilèges root et d’exécuter des commandes arbitraires sur cet appareil. Nous avons remédié à ces problèmes sur toutes les plateformes. Les clients utilisant AWS Client VPN doivent mettre à jour vers la version 3.11.1 ou supérieure pour Windows, vers la version 3.9.2 ou supérieure pour macOS et vers la version 3.12.1 ou supérieure pour Linux.
Pour en savoir plus sur la configuration d’AWS Client VPN afin de répondre à vos exigences de sécurité et de conformité, consultez notre guide de l’utilisateur « Sécurité dans AWS Client VPN ».
Nous tenons à remercier Robinhood pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention à l’adresse aws-security@amazon.com.