ID Bollettino: AWS-2025-020
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 07/10/2025 13:30 PDT

Descrizione:

VPN Client di AWS è un servizio VPN gestito basato su client che consente l'accesso sicuro ad AWS e alle risorse on-premises. Il software client di VPN Client di AWS viene eseguito sui dispositivi degli utenti finali, supporta Windows, macOS e Linux, e offre la possibilità agli utenti finali di stabilire un tunnel sicuro verso il servizio VPN Client di AWS.

Abbiamo identificato un problema in VPN Client di AWS, denominato CVE-2025-11462. La versione macOS di VPN Client di AWS non disponeva di controlli di convalida adeguati sulla directory di destinazione del log durante la rotazione dei log. Ciò ha consentito a un utente non amministratore di creare un collegamento simbolico da un file di log del client a una posizione privilegiata (ad esempio, Crontab). L’attivazione di un’API interna con input arbitrari comporterebbe, quindi, la scrittura di questi input nella posizione privilegiata durante la rotazione del log, consentendone l’esecuzione con privilegi root. Questo problema non riguarda i dispositivi Windows o Linux.

Versioni interessate: 

client di VPN Client di AWS versioni da 1.3.2 a 5.2.0

Risoluzione:

questo problema è stato risolto nella versione 5.2.1 del client di VPN Client di AWS. Consigliamo agli utenti di eseguire l’aggiornamento alla versione più recente.

Soluzioni alternative:

n/d

Riferimenti:

• CVE-2025-11462
   

Per eventuali domande o dubbi sulla sicurezza, inviare un’e-mail all’indirizzo aws-security@amazon.com.