Bulletin-ID: AWS-2025-020 Geltungsbereich: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 07.10.2025 13:30 Uhr PDTBeschreibung:AWS Client VPN ist ein verwalteter clientbasierter VPN-Dienst, der sicheren Zugriff auf AWS- und On-Premises-Ressourcen ermöglicht. Die AWS Client VPN-Client-Software läuft auf Endbenutzergeräten, unterstützt Windows, macOS und Linux und ermöglicht es Endbenutzern, eine sichere Verbindung zum AWS Client VPN Service herzustellen.Wir haben CVE-2025-11462 identifiziert, ein Problem in AWS Client VPN. Der macOS-Version des AWS VPN Clients fehlten ordnungsgemäße Validierungsprüfungen für das Log-Zielverzeichnis während der Log-Rotation. Dies ermöglichte es einem Nicht-Administrator-Benutzer, einen Symlink von einer Client-Logdatei zu einem privilegierten Speicherort (z. B. Crontab) zu erstellen. Das Auslösen einer internen API mit beliebigen Eingaben würde diese Eingaben dann bei der Log-Rotation an den privilegierten Speicherort schreiben, was die Ausführung mit Root-Rechten ermöglicht. Dieses Problem betrifft keine Windows- oder Linux-Geräte.Betroffene Versionen:AWS Client VPN Client-Versionen 1.3.2 bis 5.2.0