AWS-2025-014

以下に翻訳を示します。 スコープ: Amazon/AWS コンテンツタイプ: 重要 (注意が必要) 公開日: 2025/07/23 午前8時30分 (太平洋標準時) 説明: AWS Client VPNは、AWSおよびオンプレミスリソースへのセキュアなアクセスを可能にする、マネージド型のクライアントベースのVPNサービスです。AWS Client VPNクライアントソフトウェアはエンドユーザーデバイス上で動作し、Windows、macOS、Linuxをサポートしており、エンドユーザーがAWS Client VPNサービスへのセキュアなトンネルを確立できるようにします。 AWS Client VPNクライアントのWindowsデバイスへのインストールプロセスにおいて、OpenSSL設定ファイルを取得するために C:\usr\local\windows-x86_64-openssl-localbuild\ssl ディレクトリを参照する問題 (CVE-2025-###) を特定しました。この結果、管理者権限を持たないユーザーが設定ファイルに任意のコードを配置できる可能性があります。管理者ユーザーがAWS Client VPNクライアントのインストールプロセスを開始した場合、そのコードがrootレベルの権限で実行される可能性があります。この問題はLinuxまたはMacデバイスには影響しません。 影響を受けるバージョン: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1