16/12/2024

Actu Cybersécurité

Multiple vulnérabilités dans OpenVPN : déni de service et exécution de code à distance au programme

La solution OpenVPN est impactée par plusieurs failles de sécurité pouvant permettre un déni de service, et dans certains cas, l'exécution de code à distance. Voici ce qu'il faut savoir.

Il y a quelques jours, plusieurs failles de sécurité ont été corrigées dans la solution OpenVPN Access Server, que vous pouvez utiliser gratuitement pour installer votre propre serveur VPN.

La première vulnérabilité, associée à la référence CVE-2023-46849, est une faiblesse de type "divide by zero" (une division par zéro) pouvant mener à un déni de service (DoS) voire même à l'exposition de données sensibles. Cette vulnérabilité est directement liée au paramètre de configuration "--fragment", qui n'est pas activée par défaut, ce qui est plutôt une bonne nouvelle.

La seconde vulnérabilité, associée à la référence CVE-2023-46850, est une faiblesse dans la mémoire de type "use-after-free". Même si le score CVSS n'est pas précisé, elle est plus grave que la première vulnérabilité. Elle impacte toutes les installations où le TLS est utilisé.

Un rapport mis en ligne par SocRadar précise : "Les attaquants pourraient potentiellement récupérer des informations sensibles de la mémoire du serveur OpenVPN, par le biais de fuites de mémoire tampon ou effectuer un RCE (exécution de code à distance)", ce qui pourrait permettre à un attaquant de prendre le contrôle du serveur concerné.

Quelles sont les versions vulnérables ?

Plusieurs versions d'OpenVPN Access Server sont vulnérables :

  • Versions à partir de 2.11.0, jusqu'à la version 2.11.3 (incluse)
  • Versions 2.12.0 et 2.12.1

Le bulletin de sécurité d'OpenVPN précise : "OpenVPN Access Server utilise la base de code OpenVPN 2 pour les connexions VPN. Les versions 2.11.0, 2.11.1, 2.11.2, 2.11.3, 2.12.0 et 2.12.1 d'OpenVPN Access Server contiennent une copie d'OpenVPN 2.6 qui présente deux vulnérabilités."

Comment se protéger ?

Depuis le 9 novembre 2023, OpenVPN Access Server 2.12.2 est disponible et cette version a pour objectif de corriger les vulnérabilités suivantes : CVE-2023-46849 et CVE-2023-46850. Actuellement, la dernière version est la 2.12.3, donc c'est bien celle-ci que vous devez installer pour vous protéger et bénéficier de la version la plus à jour.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Multiple vulnérabilités dans OpenVPN : déni de service et exécution de code à distance au programme

  • Les serveurs OpenVPN intégrés aux routeurs sont ils impactés (Type PfSense) ? Ou s’agit il seulement de la solution accès serveur ?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.