OpenVPN corrige sept failles de sécurité dans sa version 2.7.5
OpenVPN a annoncé le 2 juillet 2026 la publication de la version 2.7.5 de son client/serveur VPN open source, apportant des correctifs pour sept vulnérabilités de sécurité. Ces failles, qui concernent tant le serveur que le client, soulèvent des questions sur les risques associés à leur exploitation.
7 CVE corrigées dans OpenVPN
OpenVPN demeure l’une des solutions VPN open source les plus utilisées, tant par les entreprises pour des accès distants que par des particuliers. La version 2.7.5, publiée par le développeur Frank Lichtenheld, corrige plusieurs bugs identifiés dans le changelog officiel sur GitHub. Les vulnérabilités corrigées incluent :
CVE-2026-13379 (CVSS 8,6 / 10) : Sur Windows, une pollution de l’état
DNS SearchListdu serviceopenvpnservlors des connexions et déconnexions. Certaines configurations pouvaient corrompre le paramétrage DNS existant.CVE-2026-12996 : Une faille use-after-free dans la fonction
ack_write_buf(), pouvant être déclenchée par une séquence spécifique de paquets.CVE-2026-13117 : Une autre faille use-after-free dans
tls_wrap_reneg(), causée par des paquets de contrôletls-cryptdynamiques.CVE-2026-13122 : Un plantage du serveur à la réception d’un
auth-tokenmalformé avec l’option--auth-gen-token external-authactivée.CVE-2026-12932 : Une fuite mémoire dans la gestion des clés client
tls-crypt-v2, entraînant un risque de saturation mémoire et de plantage.CVE-2026-13698 : Une autre fuite mémoire, déclenchée par des paquets spécifiques, pouvant également provoquer un crash serveur.
CVE-2026-11771 : Un débordement de tampon d’un octet dans le traitement des réponses proxy NTLMv2.
Ces vulnérabilités ont été signalées par divers chercheurs en sécurité, dont Tristan Madani pour la faille NTLMv2, et Valton Tahiri et Max Fillinger pour les fuites mémoire.
Bugs écartés
L’équipe de développement a également choisi de ne pas classer certains bugs comme des failles de sécurité, tels que le bug tun-mtu ou un problème de gestion multi-socket, qui ont été jugés comme des erreurs de code plutôt que comme des vulnérabilités exploitables.
Pour les utilisateurs d’OpenVPN, il est recommandé de procéder à la mise à jour vers la version 2.7.5. L’installateur MSI pour Windows est disponible sur la page de téléchargement d’OpenVPN, tandis que les paquets Linux peuvent être trouvés dans les dépôts.
Source : OpenVPN – Release v2.7.5 (changelog officiel)
