AWS-2025-014

범위: Amazon/AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2025년 7월 23일 오전 8:30 PDT 설명: AWS Client VPN은 AWS 및 온프레미스 리소스에 대한 안전한 액세스를 가능하게 하는 관리형 클라이언트 기반 VPN 서비스입니다. AWS Client VPN 클라이언트 소프트웨어는 Windows, macOS 및 Linux를 지원하는 최종 사용자 장치에서 실행되며, 최종 사용자가 AWS Client VPN 서비스에 대한 보안 터널을 설정할 수 있도록 합니다. AWS Client VPN의 CVE-2025-문제를 확인했습니다. Windows 장치에서 AWS Client VPN 클라이언트 설치 중에 설치 프로세스는 OpenSSL 구성 파일을 가져오기 위해 C:\usr\local\windows-x86_64-openssl-localbuild\ssl 디렉터리 위치를 참조합니다. 결과적으로 관리자가 아닌 사용자는 구성 파일에 임의의 코드를 삽입할 수 있습니다. 관리자 사용자가 AWS Client VPN 클라이언트 설치 프로세스를 시작하면 해당 코드가 루트 수준 권한으로 실행될 수 있습니다. 이 문제는 Linux 또는 Mac 장치에는 영향을 미치지 않습니다. 영향받는 버전: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1