09/04/2025
IT-Connect » Actualités » Actu Cybersécurité » Patchez OpenVPN : cette nouvelle faille de sécurité peut faire planter votre serveur VPN !

OpenVPN CVE-2025-2704
Actu Cybersécurité

Patchez OpenVPN : cette nouvelle faille de sécurité peut faire planter votre serveur VPN !

Florian BURNEL 0 commentaire

Une nouvelle faille de sécurité a été corrigée dans OpenVPN, une solution de VPN open source mondialement utilisée. En exploitant cette vulnérabilité, un attaquant peut provoquer un déni de service sur le serveur OpenVPN. Voici ce qu'il faut savoir.

CVE-2025-2704 : une faille touchant des versions précises d'OpenVPN

Le 2 avril 2025, les mainteneurs du projet OpenVPN ont mis en ligne une nouvelle version pour patcher la vulnérabilité CVE-2025-2704. Cette faiblesse se situe dans l'utilisation de l'option --tls-crypt-v2 comme l'explique le bulletin de sécurité : "Pour déclencher le bogue, une clé client tls-crypt-v2 valide est nécessaire, ou l'observation par le réseau d'un handshake avec une clé client tls-crypt-v2 valide. Aucune intégrité cryptographique n'est violée, aucune donnée n'est divulguée et aucune exécution de code à distance n'est possible."

Cette faille de sécurité affecte uniquement les serveurs OpenVPN et n'aurait aucun impact sur les clients OpenVPN en eux-mêmes. L'exploitation de cette vulnérabilité peut provoquer un arrêt brutal du serveur OpenVPN, et donc un déni de service sur la solution d'accès à distance. L'exploit est déclenché grâce à des paquets malformés avec l'instruction ASSERT().

Il est important de préciser que seuls les serveurs OpenVPN utilisant les versions de 2.6.1 à 2.6.13, et uniquement dans le cas où la configuration --tls-crypt-v2 est activée, sont vulnérables.

Comment se protéger ?

Suite à la découverte de cette vulnérabilité, l’équipe d’OpenVPN a publié une nouvelle version : OpenVPN 2.6.14, qui contient le correctif de sécurité. Cette version contient aussi quelques améliorations mineures pour les versions Windows et Linux. Par exemple, cette version repose sur OpenSSL 3.4.1.

Si vous utilisez un serveur OpenVPN, il est recommandé d'effectuer la mise à jour vers la version 2.6.14. Pour les systèmes ne pouvant être mis à jour dans l’immédiat, la désactivation temporaire de --tls-crypt-v2 est suggérée comme mesure préventive. Cette option sert à améliorer la sécurité des échanges grâce à l'utilisation d'une clé unique par profil de connexion.

Enfin, aucune exploitation de cette vulnérabilité n’a été observée à ce jour, ce qui signifie qu’il ne s’agit pas d’une faille de type zero-day.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Faille de sécurité zero-day Exchange Server - CVE-2024-21410

Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410

Florian BURNEL 3
Pwn2Own 2022 - Toronto - Samsung Galaxy S22

Pwn2Own 2022 – Le Samsung Galaxy S22 hacké 3 fois en 2 jours

Florian BURNEL 0
Cyberattaque - Hôpital Simone Veil de Cannes - LockBit - Avril 2024

LockBit revendique la cyberattaque contre l’Hôpital Simone Veil de Cannes !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.