Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 23/07/2025 8:30 PDT

Descrizione:

VPN Client di AWS è un servizio VPN gestito basato su client che consente l'accesso sicuro ad AWS e alle risorse on-premises. Il software client di VPN Client di AWS viene eseguito sui dispositivi degli utenti finali, supporta Windows, macOS e Linux, e offre la possibilità agli utenti finali di stabilire un tunnel sicuro verso il servizio VPN Client di AWS.

Abbiamo identificato un problema in VPN Client di AWS, denominato CVE-2025-8069. Durante l'installazione del client di VPN Client di AWS su dispositivi Windows, il processo di installazione fa riferimento alla posizione della directory C:\usr\local\windows-x86_64-openssl-localbuild\ssl per recuperare il file di configurazione OpenSSL. Di conseguenza, un utente non amministratore potrebbe inserire codice arbitrario nel file di configurazione. Se un utente amministratore avvia il processo di installazione del client di VPN Client di AWS, quel codice potrebbe essere eseguito con privilegi di livello root. Questo problema non riguarda i dispositivi Linux o Mac.

Versioni interessate: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

Risoluzione:

Questo problema è stato risolto nella versione 5.2.2 di VPN Client di AWS. Consigliamo agli utenti di interrompere qualsiasi nuova installazione di VPN Client di AWS su Windows precedente alla versione 5.2.2.

Soluzione alternativa:

N/D

Riferimenti:

• CVE-2025-8069

Ringraziamenti:

Desideriamo ringraziare Zero Day Initiative per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.