Risque
Exécution de code arbitraire à distance.
Systèmes affectés
OpenVPN versions 2.0.7 et précédentes.
Résumé
Une vulnérabilité dans OpenVPN permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à partir de l'interface d'administration à distance.
Description
La vulnérabilité est causée par une mauvaise conception (qui ne serait pas activée par défaut) dans l'interface d'administration à distance d'OpenVPN. Cette vulnérabilité permet d'accéder à cette interface sans aucune authentification préalable et ceci à partir du réseau local ou bien à partir de l'Internet.
Solution
Dans l'attente d'un correctif de la part de l'éditeur, il est recommandé d'interdire l'administration à ditance à partir d'Internet mais aussi à partir d'un réseau local. N'autoriser cette administration qu'à partir d'une machine dédiée bénéficiant d'un contrôle d'accès.