範圍：AWS
內容類型：重要 (需要注意)
發布日期：2025 年 7 月 23 日上午 8:30 (太平洋夏令時間)

描述：

AWS Client VPN 為受管用戶端 VPN 服務，可供安全存取 AWS 及內部部署的資源。AWS Client VPN 用戶端軟體會在終端使用者的裝置上執行，支援 Windows、macOS 及 Linux，可讓終端使用者建立連線至 AWS Client VPN 服務的安全通道。

我們在 AWS Client VPN 中發現了 CVE-2025-8069 此問題。在 Windows 裝置上安裝 AWS Client VPN 用戶端時，安裝程序會參考 C:\usr\local\windows-x86_64-openssl-localbuild\ ssl 目錄位置以擷取 OpenSSL 組態檔。因此，非管理員使用者將有機會在組態檔中植入任意程式碼。若管理員啟動 AWS Client VPN 用戶端的安裝程序，這些程式碼就可能以根層級權限執行。此問題不影響 Linux 或 Mac 裝置。

受影響版本：4.1.0、5.0.0、5.0.1、5.0.2、5.1.0、5.2.0、5.2.1

解決方案：

此問題已在 AWS Client VPN 用戶端 5.2.2 版中修復。我們建議使用者停止在 Windows 上新安裝任何 5.2.2 版之前的 AWS Client VPN。

變通方法：

無

參考資料：

• CVE-2025-8069

致謝：

我們誠摯感謝 Zero Day Initiative 透過協調的漏洞披露程序，與我們協作解決此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。