概要
Amazon WorkSpacesクライアント for Linuxに、認証トークンの不適切な処理に起因する重大なセキュリティ脆弱性が発見されました。この脆弱性(CVE-2025-12779)は、攻撃者が有効な認証トークンを不正に入手し、ユーザー環境への不正アクセスを可能にする恐れがあります。Amazon Web Services(AWS)は緊急の対応を呼びかけており、ユーザーには速やかなソフトウェアのアップデートが求められています。
脆弱性の詳細
2025年11月5日、AWSはセキュリティ速報「AWS-2025-025」を公開し、Amazon WorkSpacesクライアント for Linuxの特定のバージョンにおける認証トークンの不適切な管理について詳細を明らかにしました。発表によると、バージョン2023.0から2024.8が、DCVベースのWorkSpaces向け認証トークンの処理方法の欠陥により影響を受けます。
この脆弱性により、同じマシン上の他のローカルユーザーが、WorkSpacesクライアントが意図せずアクセス可能にしてしまった有効な認証トークンを抽出する可能性があります。悪用された場合、悪意のあるローカルユーザーは、他の個人のWorkSpaceセッションにアクセスし、その仮想環境を制御できるようになります。
影響と対策
このリスクは、共有システム、マルチユーザー環境、または複数のユーザーが同じLinuxデバイスにアクセスするあらゆるシナリオにおいて重大です。
影響を受けるAmazon WorkSpacesクライアント for Linuxのバージョン2023.0から2024.8を使用しているすべてのユーザーがリスクに晒されています。AWSは、これらの影響を受けるバージョンのサポート終了について組織および個人に積極的に通知しており、直ちにアップデートするよう強く推奨しています。
AWSはバージョン2025.0でこの問題に対処しており、セキュリティチームは脆弱性を完全に修正するために、この最新リリースまたはそれ以降のバージョンへのアップグレードを強く推奨しています。修正版は、公式のAmazon WorkSpacesクライアントダウンロードページから入手できます。
AWSはまた、この問題に関するセキュリティ上の懸念がある場合は、直接aws-security@amazon.comに連絡するよう促しています。
まとめ
この脆弱性は、クラウドデスクトップ環境における堅牢なトークン管理と定期的なアップデートの継続的な必要性を浮き彫りにしています。組織が現代のITインフラストラクチャで仮想ワークスペースソリューションへの依存度を高めるにつれて、迅速な対応と意識の向上が極めて重要となります。
脆弱性情報
- CVE ID: CVE-2025-12779
- 影響を受ける製品: Amazon WorkSpaces client for Linux
- 影響を受けるバージョン: 2023.0 through 2024.8
- CVSSスコア: Pending
- 解決策: Upgrade to 2025.0
元記事: https://gbhackers.com/amazon-workspaces-for-linux-vulnerability/