Faille critique corrigée dans OpenVPN : mise à jour nécessaire pour les serveurs concernés

L’intégration d’une nouvelle faille de sécurité a été récemment corrigée dans OpenVPN, un logiciel de réseau privé virtuel (VPN) open source largement utilisé à l’échelle mondiale. Cette vulnérabilité pouvait potentiellement entraîner un déni de service sur les serveurs utilisant OpenVPN. Voici ce qu’il est essentiel de savoir à ce sujet.
CVE-2025-2704 : une faille touchant des versions spécifiques d’OpenVPN
Le 2 avril 2025, les développeurs du projet OpenVPN ont déployé une mise à jour visant à corriger la vulnérabilité CVE-2025-2704. Cette faille concerne l’utilisation de l’option –tls-crypt-v2, comme l’indique le bulletin de sécurité : “Pour exploiter cette faille, une clé client tls-crypt-v2 valide est requise, ou bien l’observation d’un échange de clés client tls-crypt-v2 valide à travers le réseau. Aucune atteinte à l’intégrité cryptographique, aucune divulgation de données, et aucune possibilité d’exécution de code à distance ne sont à craindre.”
Cette vulnérabilité touche exclusivement les serveurs OpenVPN et n’a aucune incidence sur les clients OpenVPN en eux-mêmes. Son exploitation peut entraîner un arrêt brutal du serveur OpenVPN, provoquant ainsi un déni de service sur la solution d’accès distant. L’exploitation de cette vulnérabilité se manifeste par l’envoi de paquets malformés contenant l’instruction ASSERT().
Il est important de noter que seuls les serveurs OpenVPN utilisant les versions de 2.6.1 à 2.6.13, et uniquement lorsque la configuration –tls-crypt-v2 est activée, sont vulnérables.
Comment se protéger ?
Suite à la découverte de cette vulnérabilité, l’équipe d’OpenVPN a lancé une nouvelle version : OpenVPN 2.6.14, qui intègre le correctif de sécurité. Cette version propose également quelques améliorations mineures pour les utilisateurs des systèmes Windows et Linux, notamment une mise à jour vers OpenSSL 3.4.1.
Si vous utilisez un serveur OpenVPN, il est vivement recommandé de procéder à la mise à jour vers la version 2.6.14. Pour les systèmes ne pouvant pas être immédiatement mis à jour, la désactivation temporaire de –tls-crypt-v2 est conseillée en tant que mesure préventive. Cette option vise à renforcer la sécurité des échanges en utilisant une clé unique par profil de connexion.
Enfin, à ce jour, aucune exploitation de cette vulnérabilité n’a été identifiée, ce qui signifie qu’il ne s’agit pas d’une faille de type zero-day.
Source : www.it-connect.fr