범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 7월 23일 오전 8시 30분(PDT)

설명:

AWS Client VPN은 AWS 및 온프레미스 리소스에 대한 보안 액세스를 지원하는 관리형 클라이언트 기반 VPN 서비스입니다. AWS Client VPN 클라이언트 소프트웨어는 Windows, macOS 및 Linux를 지원하는 최종 사용자 디바이스에서 실행되며, 최종 사용자가 AWS Client VPN 서비스에 대한 보안 터널을 설정할 수 있는 기능을 제공합니다.

AWS Client VPN에서 CVE-2025-8069 문제를 확인했습니다. Windows 디바이스에 AWS Client VPN 클라이언트를 설치하는 동안 설치 프로세스에서는 C:\usr\local\windows-x86_64-openssl-localbuild\ssl 디렉터리 위치를 참조하여 OpenSSL 구성 파일을 가져옵니다. 따라서 관리자가 아닌 사용자가 구성 파일에 임의의 코드를 저장할 수 있습니다. 관리자가 AWS Client VPN 클라이언트 설치 프로세스를 시작하면 루트 수준 권한으로 해당 코드를 실행할 수 있습니다. 이 문제는 Linux 또는 Mac 디바이스에는 영향을 주지 않습니다.

영향을 받는 버전: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

해결 방법:

이 문제는 AWS Client VPN 클라이언트 버전 5.2.2에서 해결되었습니다. 5.2.2 이전 버전의 Windows에 AWS Client VPN을 새로 설치한 경우 사용을 중단하는 것이 좋습니다.

차선책:

해당 사항 없음

참고 사항:

• CVE-2025-8069

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Zero Day Initiative에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.