Vulnérabilités OpenVPN !

Vulnérabilités OpenVPN détectés. La nouvelle provoque un choc dans le monde du VPN. OpenVPN est en effet un protocole VPN qui jouissait jusque là d’une des meilleures réputations. Et ce sont pas moins de deux vulnérabilités OpenVPN qui ont été mis au jour par les équipes de vérification.

Vulnérabilités OpenVPN

Audit OpenVPN

Un audit a été lancé pour vérifier la dernière version de OpenVPN. En accord avec la publication de ce rapport, OpenVPN vient de publier OpenVPN 2.4.2 qui est la dernière mise à jour pour la technologie OpenVPN 2.4 récemment publiée. Les communautés du VPN et de la sécurité a se sont regroupés pour examiner cette technologie Open Source avec un audit OpenVPN très complet.

Protocole OpenVPNCette nouvelle version OpenVPN v.2.4.2, est un paquet techniquement solide qui a passé des audits de sécurité. Mais malheureusement les versions antérieures ont révélé non pas avec une vulnérabilité mais deux.

La première vérification a été menée par le Dr Matthew Green de cryptographie Engineering au nom de l’assembly PIA, le fournisseur de VPN. Dr Green a déjà terminé la vérification de TrueCrypt avec l’Open Crypto Audit Project.

La seconde vérification a été réalisée par l’équipe de QuarksLab grâce à une campagne de crowdfunding communauté de l’Open Source technologie amélioration fonds, l’OSTIF. QuarksLab et OSTIF avait fait auparavant l’audit VeraCrypt.

Vulnérabilités OpenVPN

Danger InternetDeux vulnérabilités dans OpenVPN antérieures à la version 2.4.2 permettent à un attaquant distant, non authentifié et facilement authentifié effectuer différentes attaques DoS de déni de service contre le serveur OpenVPN. Dans les deux cas, une erreur d’exception est déclenchée et l’exécution de processus se termine alors. L’éditeur publie OpenVPN 2.4.2 pour corriger ces faiblesses et autres problèmes trouvés dans le logiciel lors de la vérification. Diverses possibilités de déréférencement pointeurs NULL avec attaques par déni de service sont encore à l’étude et ne font pas partie de cette publication. La vulnérabilité CVE-2017-7479 évolue de plus en version 2.3.15 et en dessous. Pour la version 25 de Fedora, Fedora EPEL 6 et 7, les mises à jour de sécurité pour OpenVPN 2.4.2 sont disponibles dans le statut « en attente ».

Cette divulgation publique de ces vulnérabilités coïncide avec la sortie d’OpenVPN 2.4.2 qui corrige les problèmes. Il est donc indispensable de faire la mise à jour pour passer à la version 2.4.2 de OpenVPN qui est considéré comme l’un des meilleurs protocoles VPN.