対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 7 月 23 日 午前 8 時 30 分 (PDT)

説明:

AWS Client VPN は、AWS およびオンプレミスのリソースへの安全なアクセスを可能にする、クライアントベースのマネージド VPN サービスです。AWS Client VPN クライアントソフトウェアは、Windows、macOS、Linux をサポートするエンドユーザーデバイスで実行され、エンドユーザーが AWS Client VPN サービスへの安全なトンネルを確立できるようにします。

当社は、AWS Client VPN の問題である CVE-2025-8069 を特定しました。Windows デバイスへの AWS Client VPN クライアントのインストール中、インストールプロセスは C:\usr\local\windows-x86_64-openssl-localbuild\ssl ディレクトリの場所を参照して OpenSSL 設定ファイルを取得します。その結果、管理者以外のユーザーが設定ファイルに任意のコードを挿入できます。管理者ユーザーが AWS Client VPN クライアントのインストールプロセスを開始すると、そのコードがルートレベルの特権で実行される可能性があります。この問題は Linux または Mac デバイスには影響しません。

影響を受けるバージョン: 4.1.0、5.0.0、5.0.1、5.0.2、5.1.0、5.2.0、5.2.1

解決方法:

この問題は、AWS Client VPN クライアントバージョン 5.2.2 で解決されています。バージョン 5.2.2 よりも前のバージョンの Windows への AWS Client VPN の新規インストールを中止することをお勧めします。

回避方法:

該当なし

参考情報:

• CVE-2025-8069

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Zero Day Initiative に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。