25 mai 2025

Krusell France

Ta dose d'actu digital !

Faille critique corrigée dans OpenVPN : mise à jour nécessaire pour les serveurs concernés

2 mois ago Julien Castex
OpenVPN CVE-2025-2704
Rate this post

L’intégration d’une nouvelle faille de sécurité a été récemment corrigée dans OpenVPN, un logiciel de réseau privé virtuel (VPN) open source largement utilisé à l’échelle mondiale. Cette vulnérabilité pouvait potentiellement entraîner un déni de service sur les serveurs utilisant OpenVPN. Voici ce qu’il est essentiel de savoir à ce sujet.

Sommaire masquer
1 CVE-2025-2704 : une faille touchant des versions spécifiques d’OpenVPN
2 Comment se protéger ?
3 Actualités similaires :

CVE-2025-2704 : une faille touchant des versions spécifiques d’OpenVPN

Le 2 avril 2025, les développeurs du projet OpenVPN ont déployé une mise à jour visant à corriger la vulnérabilité CVE-2025-2704. Cette faille concerne l’utilisation de l’option –tls-crypt-v2, comme l’indique le bulletin de sécurité : “Pour exploiter cette faille, une clé client tls-crypt-v2 valide est requise, ou bien l’observation d’un échange de clés client tls-crypt-v2 valide à travers le réseau. Aucune atteinte à l’intégrité cryptographique, aucune divulgation de données, et aucune possibilité d’exécution de code à distance ne sont à craindre.”

Cette vulnérabilité touche exclusivement les serveurs OpenVPN et n’a aucune incidence sur les clients OpenVPN en eux-mêmes. Son exploitation peut entraîner un arrêt brutal du serveur OpenVPN, provoquant ainsi un déni de service sur la solution d’accès distant. L’exploitation de cette vulnérabilité se manifeste par l’envoi de paquets malformés contenant l’instruction ASSERT().

Il est important de noter que seuls les serveurs OpenVPN utilisant les versions de 2.6.1 à 2.6.13, et uniquement lorsque la configuration –tls-crypt-v2 est activée, sont vulnérables.

Comment se protéger ?

Suite à la découverte de cette vulnérabilité, l’équipe d’OpenVPN a lancé une nouvelle version : OpenVPN 2.6.14, qui intègre le correctif de sécurité. Cette version propose également quelques améliorations mineures pour les utilisateurs des systèmes Windows et Linux, notamment une mise à jour vers OpenSSL 3.4.1.

Si vous utilisez un serveur OpenVPN, il est vivement recommandé de procéder à la mise à jour vers la version 2.6.14. Pour les systèmes ne pouvant pas être immédiatement mis à jour, la désactivation temporaire de –tls-crypt-v2 est conseillée en tant que mesure préventive. Cette option vise à renforcer la sécurité des échanges en utilisant une clé unique par profil de connexion.

Enfin, à ce jour, aucune exploitation de cette vulnérabilité n’a été identifiée, ce qui signifie qu’il ne s’agit pas d’une faille de type zero-day.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Mise à jour nécessaire pour protéger votre ordinateur Intel contre une faille critique de sécurité dans le firmware UEFI.
  2. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  3. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  4. CVE-2024-41110 : faille critique corrigée dans Docker, quelle solution ?
  5. Alerte sécurité : faille critique corrigée dans Fortinet Wireless Manager
  6. Faille critique corrigée dans Cisco Smart Software Manager On-Prem – Protégez-vous maintenant
Tags:

Plus d'actu

android batterie optimsiation

Comment optimiser la batterie de son smartphone Android en 2025

1 mois ago Alex Lopez
Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

1 mois ago Julien Castex
Google Chrome 136 - Correction d'un vieux problème de sécurité

Google Chrome 136 : comment une nouvelle fonctionnalité protège votre historique de navigation

1 mois ago Julien Castex

Vous avez peut-être manqué

Digitaliser la gestion de sa pépinière : un levier de performance méconnu

2 semaines ago Lea Corbini
agent ia visuel

Agents AI : Révolution silencieuse du service client

1 mois ago Alex Lopez
system update android

Protégez votre Android : 7 astuces choc à découvrir !

1 mois ago Alex Lopez

Boostez votre autonomie Android : 5 astuces chocs à découvrir !

1 mois ago Alex Lopez