AWS-2025-014

Область: Amazon/AWS Тип контента: Важное (требует внимания) Дата публикации: 23 июля 2025 г., 8:30 утра по тихоокеанскому времени PDT Описание: AWS Client VPN - это управляемый клиентский VPN-сервис, который обеспечивает безопасный доступ к ресурсам AWS и на локальных ресурсах. Программное обеспечение клиента AWS Client VPN работает на устройствах конечных пользователей, поддерживая Windows, macOS и Linux, и предоставляет возможность конечным пользователям установить безопасный туннель к сервису AWS Client VPN. Мы определили CVE-2025-###, проблему в AWS Client VPN. Во время установки клиента AWS Client VPN на устройствах Windows процесс установки ссылается на расположение директории C:\usr\local\windows-x86_64-openssl-localbuild\ssl для получения файла конфигурации OpenSSL. В результате неадминистративный пользователь может поместить произвольный код в файл конфигурации. Если административный пользователь запустит процесс установки клиента AWS Client VPN, то код может быть выполнен с привилегиями уровня root. Это не влияет на устройства Linux или Mac. Затронутые версии: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1