OpenVPN : 7 failles corrigées, risque de crash du serveur

OpenVPN corrige sept failles de sécurité dans sa version 2.7.5

OpenVPN a annoncé le 2 juillet 2026 la publication de la version 2.7.5 de son client/serveur VPN open source, apportant des correctifs pour sept vulnérabilités de sécurité. Ces failles, qui concernent tant le serveur que le client, soulèvent des questions sur les risques associés à leur exploitation.

7 CVE corrigées dans OpenVPN

OpenVPN demeure l’une des solutions VPN open source les plus utilisées, tant par les entreprises pour des accès distants que par des particuliers. La version 2.7.5, publiée par le développeur Frank Lichtenheld, corrige plusieurs bugs identifiés dans le changelog officiel sur GitHub. Les vulnérabilités corrigées incluent :

  • CVE-2026-13379 (CVSS 8,6 / 10) : Sur Windows, une pollution de l’état DNS SearchList du service openvpnserv lors des connexions et déconnexions. Certaines configurations pouvaient corrompre le paramétrage DNS existant.

  • CVE-2026-12996 : Une faille use-after-free dans la fonction ack_write_buf(), pouvant être déclenchée par une séquence spécifique de paquets.

  • CVE-2026-13117 : Une autre faille use-after-free dans tls_wrap_reneg(), causée par des paquets de contrôle tls-crypt dynamiques.

  • CVE-2026-13122 : Un plantage du serveur à la réception d’un auth-token malformé avec l’option --auth-gen-token external-auth activée.

  • CVE-2026-12932 : Une fuite mémoire dans la gestion des clés client tls-crypt-v2, entraînant un risque de saturation mémoire et de plantage.

  • CVE-2026-13698 : Une autre fuite mémoire, déclenchée par des paquets spécifiques, pouvant également provoquer un crash serveur.

  • CVE-2026-11771 : Un débordement de tampon d’un octet dans le traitement des réponses proxy NTLMv2.

Ces vulnérabilités ont été signalées par divers chercheurs en sécurité, dont Tristan Madani pour la faille NTLMv2, et Valton Tahiri et Max Fillinger pour les fuites mémoire.

Bugs écartés

L’équipe de développement a également choisi de ne pas classer certains bugs comme des failles de sécurité, tels que le bug tun-mtu ou un problème de gestion multi-socket, qui ont été jugés comme des erreurs de code plutôt que comme des vulnérabilités exploitables.

Pour les utilisateurs d’OpenVPN, il est recommandé de procéder à la mise à jour vers la version 2.7.5. L’installateur MSI pour Windows est disponible sur la page de téléchargement d’OpenVPN, tandis que les paquets Linux peuvent être trouvés dans les dépôts.

Source : OpenVPN – Release v2.7.5 (changelog officiel)

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *