Réf. SSFE-2025-014

Portée : Amazon/AWS Type de contenu : Important (requiert attention) Date de publication : 23/07/2025 8h30 PDT Description : AWS Client VPN est un service VPN client géré qui permet d'accéder de manière sécurisée aux ressources AWS et sur site. Le logiciel client AWS Client VPN s'exécute sur les appareils des utilisateurs finals, prenant en charge Windows, macOS et Linux, et permet aux utilisateurs finals d'établir un tunnel sécurisé vers le service AWS Client VPN. Nous avons identifié CVE-2025-###, un problème dans AWS Client VPN. Lors de l'installation du client AWS Client VPN sur les appareils Windows, le processus d'installation fait référence à l'emplacement du répertoire C:\usr\local\windows-x86_64-openssl-localbuild\ssl pour récupérer le fichier de configuration OpenSSL. En conséquence, un utilisateur non-administrateur pourrait placer du code arbitraire dans le fichier de configuration. Si un administrateur démarre le processus d'installation du client AWS Client VPN, ce code pourrait être exécuté avec des privilèges de niveau root. Ce problème ne concerne pas les appareils Linux ou Mac. Version affectée : 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1