Date de publication : 15/01/2025 à 10 h 30 PST

Description :

AWS a identifié deux problèmes dans des versions spécifiques de clients natifs pour Amazon WorkSpaces, Amazon AppStream 2.0 et Amazon DCV. Nous avons communiqué de manière proactive avec les clients concernant la fin du support pour les versions concernées.

CVE-2025-0500 :

Ce problème s’applique à des versions spécifiques de clients natifs pour Amazon WorkSpaces (lors de l’exécution du protocole Amazon DCV), Amazon AppStream 2.0 et Amazon DCV, répertoriées ci-dessous. S’il est exploité, ce problème pourrait permettre à un acteur malveillant d’effectuer une attaque de type « man-in-the-middle », lui permettant d’accéder à distance à des sessions WorkSpaces, AppStream ou DCV. Nous recommandons aux clients de passer aux versions contenant le correctif pour résoudre ce problème.

Versions affectées :

  • Client Amazon WorkSpaces pour Windows 5.20.0 ou version antérieure, client macOS 5.20.0 ou version antérieure et client Linux 2024.1 ou version antérieure.
  • Client Windows Amazon AppStream 2.0 1.1.1326 ou version antérieure.
  • Client Amazon DCV Windows 2023.1.8993 ou version antérieure, client macOS 2023.1.6203 ou version antérieure et client Linux 2023.1.6203 ou version antérieure pour toutes les distributions Linux prises en charge.

Résolution :

Ce problème a été résolu dans certaines versions des clients Amazon WorkSpaces, Amazon AppStream 2.0 et Amazon DCV, répertoriés ci-dessous. La mise à niveau vers ces versions ou des versions ultérieures permet de résoudre le problème.

Versions contenant le correctif :

  • Client Amazon WorkSpaces Windows 5.21.0 ou version ultérieure, client macOS 5.21.0 ou version ultérieure et client Linux 2024.2 ou version ultérieure.
  • Client Windows Amazon AppStream 2.0 1.1.1332 ou version ultérieure.
  • Client Amazon DCV Windows 2023.1.9127 ou version ultérieure, client macOS 2023.1.6703 ou version ultérieure et client Linux 2023.1.6703 ou version ultérieure pour toutes les distributions Linux prises en charge.

CVE-2025-0501 :

Le problème concerne des versions spécifiques de clients natifs pour Amazon WorkSpaces (lors de l’exécution du protocole PCoIP), répertoriées ci-dessous. S’il est exploité, ce problème pourrait permettre à un acteur malveillant d’effectuer une attaque de type « man-in-the-middle », lui permettant d’accéder à distance à des sessions WorkSpaces. Nous recommandons aux clients de passer aux versions contenant le correctif pour résoudre ce problème.

Versions affectées :

  • Client Amazon WorkSpaces Windows 5.22.0 ou version antérieure, client macOS 5.22.0 ou version antérieure, client Linux 2024.5 ou version antérieure et client Android 5.0.0 ou version antérieure.

Résolution :

Ce problème a été résolu dans certaines versions des clients Amazon WorkSpaces, répertoriés ci-dessous. La mise à niveau vers ces versions ou des versions ultérieures permet de résoudre le problème.

Versions contenant le correctif :

  • Client Amazon WorkSpaces Windows 5.22.1 ou version ultérieure, client macOS 5.22.1 ou version ultérieure, client Linux 2024.6 ou version ultérieure et client Android 5.0.1 ou version ultérieure.

Références :

Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.