Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 23/07/2025 8h30 PDT

Descrição:

O AWS Client VPN é um serviço de VPN gerenciado baseado em cliente que permite acesso seguro aos recursos on-premises e da AWS. O software-cliente do AWS Client VPN é executado em dispositivos de usuário final, com suporte para Windows, macOS e Linux, e oferece aos usuários finais a capacidade de estabelecer um túnel seguro para o Serviço AWS Client VPN.

Identificamos o CVE-2025-8069, um problema no AWS Client VPN. Durante a instalação do cliente do AWS Client VPN em dispositivos Windows, o processo de instalação faz referência ao local do diretório C:\usr\local\windows-x86_64-openssl-localbuild\ssl para buscar o arquivo de configuração do OpenSSL. Como resultado, um usuário não administrador pode colocar um código arbitrário no arquivo de configuração. Se um usuário administrador iniciar o processo de instalação do cliente do AWS Client VPN, esse código poderá ser executado com privilégios no nível raiz. Esse problema não afeta dispositivos Linux ou Mac.

Versões afetadas: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

Resolução:

O problema foi resolvido no AWS Client VPN Client versão 5.2.2. Recomendamos que os usuários descontinuem todas as novas instalações do AWS Client VPN no Windows antes da versão 5.2.2.

Solução alternativa:

N/D

Referências:

• CVE-2025-8069

Agradecimento:

Gostaríamos de agradecer ao Zero Day Initiative por colaborar nessa questão por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.