La solution OpenVPN est impactée par plusieurs failles de sécurité pouvant permettre un déni de service, et dans certains cas, l'exécution de code à distance. Voici ce qu'il faut savoir.

Il y a quelques jours, plusieurs failles de sécurité ont été corrigées dans la solution OpenVPN Access Server, que vous pouvez utiliser gratuitement pour installer votre propre serveur VPN.

La première vulnérabilité, associée à la référence CVE-2023-46849, est une faiblesse de type "divide by zero" (une division par zéro) pouvant mener à un déni de service (DoS) voire même à l'exposition de données sensibles. Cette vulnérabilité est directement liée au paramètre de configuration "--fragment", qui n'est pas activée par défaut, ce qui est plutôt une bonne nouvelle.

La seconde vulnérabilité, associée à la référence CVE-2023-46850, est une faiblesse dans la mémoire de type "use-after-free". Même si le score CVSS n'est pas précisé, elle est plus grave que la première vulnérabilité. Elle impacte toutes les installations où le TLS est utilisé.

Un rapport mis en ligne par SocRadar précise : "Les attaquants pourraient potentiellement récupérer des informations sensibles de la mémoire du serveur OpenVPN, par le biais de fuites de mémoire tampon ou effectuer un RCE (exécution de code à distance)", ce qui pourrait permettre à un attaquant de prendre le contrôle du serveur concerné.

Quelles sont les versions vulnérables ?

Plusieurs versions d'OpenVPN Access Server sont vulnérables :

• Versions à partir de 2.11.0, jusqu'à la version 2.11.3 (incluse)
• Versions 2.12.0 et 2.12.1

Le bulletin de sécurité d'OpenVPN précise : "OpenVPN Access Server utilise la base de code OpenVPN 2 pour les connexions VPN. Les versions 2.11.0, 2.11.1, 2.11.2, 2.11.3, 2.12.0 et 2.12.1 d'OpenVPN Access Server contiennent une copie d'OpenVPN 2.6 qui présente deux vulnérabilités."

Comment se protéger ?

Depuis le 9 novembre 2023, OpenVPN Access Server 2.12.2 est disponible et cette version a pour objectif de corriger les vulnérabilités suivantes : CVE-2023-46849 et CVE-2023-46850. Actuellement, la dernière version est la 2.12.3, donc c'est bien celle-ci que vous devez installer pour vous protéger et bénéficier de la version la plus à jour.

The post Multiple vulnérabilités dans OpenVPN : déni de service et exécution de code à distance au programme first appeared on IT-Connect.