AWS-2025-014

Umfang: Amazon/AWS-Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 23.07.2025 8:30 Uhr PDT Beschreibung: AWS Client VPN ist ein verwalteter, clientbasierten VPN-Dienst, der sicheren Zugriff auf AWS- und lokalen Ressourcen ermöglicht. Die AWS Client VPN-Client-Software läuft auf Endgeräten und unterstützt Windows, macOS und Linux, wodurch Endbenutzern ermöglicht wird, eine sichere Verbindung zum AWS Client VPN-Dienst herzustellen. Wir haben CVE-2025-identifiziert, ein Problem in AWS Client VPN. Während der Installation des AWS Client VPN-Clients auf Windows-Geräten verweist der Installationsprozess auf den Ordner C:\usr\local\windows-x86_64-openssl-localbuild\ssl, um die OpenSSL-Konfigurationsdatei abzurufen. Als Ergebnis könnte ein nicht-administratorischer Benutzer beliebigen Code in die Konfigurationsdatei platzieren. Wenn ein Administrator-Benutzer den AWS Client VPN-Client-Installationsprozess startet, könnte dieser Code mit root-Ebenen-Berechtigungen ausgeführt werden. Dieses Problem betrifft keine Linux- oder Mac-Geräte. Betroffene Version: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1