Faille critique corrigée dans OpenVPN : mise à jour nécessaire pour les serveurs concernés

Rate this post

L’intégration d’une nouvelle faille de sécurité a été récemment corrigée dans OpenVPN, un logiciel de réseau privé virtuel (VPN) open source largement utilisé à l’échelle mondiale. Cette vulnérabilité pouvait potentiellement entraîner un déni de service sur les serveurs utilisant OpenVPN. Voici ce qu’il est essentiel de savoir à ce sujet.

Sommaire masquer

1 CVE-2025-2704 : une faille touchant des versions spécifiques d’OpenVPN

2 Comment se protéger ?

3 Actualités similaires :

CVE-2025-2704 : une faille touchant des versions spécifiques d’OpenVPN

Le 2 avril 2025, les développeurs du projet OpenVPN ont déployé une mise à jour visant à corriger la vulnérabilité CVE-2025-2704. Cette faille concerne l’utilisation de l’option –tls-crypt-v2, comme l’indique le bulletin de sécurité : “Pour exploiter cette faille, une clé client tls-crypt-v2 valide est requise, ou bien l’observation d’un échange de clés client tls-crypt-v2 valide à travers le réseau. Aucune atteinte à l’intégrité cryptographique, aucune divulgation de données, et aucune possibilité d’exécution de code à distance ne sont à craindre.”

Cette vulnérabilité touche exclusivement les serveurs OpenVPN et n’a aucune incidence sur les clients OpenVPN en eux-mêmes. Son exploitation peut entraîner un arrêt brutal du serveur OpenVPN, provoquant ainsi un déni de service sur la solution d’accès distant. L’exploitation de cette vulnérabilité se manifeste par l’envoi de paquets malformés contenant l’instruction ASSERT().

Il est important de noter que seuls les serveurs OpenVPN utilisant les versions de 2.6.1 à 2.6.13, et uniquement lorsque la configuration –tls-crypt-v2 est activée, sont vulnérables.

Comment se protéger ?

Suite à la découverte de cette vulnérabilité, l’équipe d’OpenVPN a lancé une nouvelle version : OpenVPN 2.6.14, qui intègre le correctif de sécurité. Cette version propose également quelques améliorations mineures pour les utilisateurs des systèmes Windows et Linux, notamment une mise à jour vers OpenSSL 3.4.1.

Si vous utilisez un serveur OpenVPN, il est vivement recommandé de procéder à la mise à jour vers la version 2.6.14. Pour les systèmes ne pouvant pas être immédiatement mis à jour, la désactivation temporaire de –tls-crypt-v2 est conseillée en tant que mesure préventive. Cette option vise à renforcer la sécurité des échanges en utilisant une clé unique par profil de connexion.

Enfin, à ce jour, aucune exploitation de cette vulnérabilité n’a été identifiée, ce qui signifie qu’il ne s’agit pas d’une faille de type zero-day.

Source : www.it-connect.fr

Julien Castex
Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.
Voir toutes les publications