Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 23/07/2025, 8 h 30 (heure du Pacifique)

Description :

AWS Client VPN est un service VPN géré basé sur le client qui permet un accès sécurisé à AWS et aux ressources sur site. Le logiciel client AWS Client VPN s’exécute sur les appareils des utilisateurs finaux. Il prend en charge Windows, macOS et Linux, et permet aux utilisateurs finaux d’établir un tunnel sécurisé vers le service AWS Client VPN.

Nous avons identifié le problème CVE-2025-8069 dans AWS Client VPN. Lors de l’installation du client AWS Client VPN sur des appareils Windows, le processus d’installation fait référence à l’emplacement du répertoire C:\usr\local\windows-x86_64-openssl-localbuild\ssl pour récupérer le fichier de configuration OpenSSL. Par conséquent, un utilisateur non administrateur pourrait placer du code arbitraire dans le fichier de configuration. Si un administrateur lance le processus d’installation du client AWS Client VPN, ce code pourrait être exécuté avec des privilèges de niveau racine. Ce problème n’affecte pas les appareils Linux ou Mac.

Versions concernées : 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

Résolution :

Ce problème a été résolu dans la version 5.2.2 d’AWS Client VPN. Nous recommandons aux utilisateurs d’interrompre toute nouvelle installation d’AWS Client VPN sur Windows avant la version 5.2.2.

Solution :

N/A

Références :

• CVE-2025-8069

Remerciements :

Nous tenons à remercier Zero Day Initiative pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.