S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 mai 2006
N° CERTA-2006-AVI-183
Affaire suivie par: CERT-FR
le 04 mai 2006

Avis du CERT-FR

Objet: Vullnérabilités dans OpenVPN

Gestion du document

Référence CERTA-2006-AVI-183
Titre Vullnérabilités dans OpenVPN
Date de la première version 04 mai 2006
Date de la dernière version 04 mai 2006
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

OpenVPN versions 2.0.7 et précédentes.

Résumé

Une vulnérabilité dans OpenVPN permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à partir de l'interface d'administration à distance.

Description

La vulnérabilité est causée par une mauvaise conception (qui ne serait pas activée par défaut) dans l'interface d'administration à distance d'OpenVPN. Cette vulnérabilité permet d'accéder à cette interface sans aucune authentification préalable et ceci à partir du réseau local ou bien à partir de l'Internet.

Solution

Dans l'attente d'un correctif de la part de l'éditeur, il est recommandé d'interdire l'administration à ditance à partir d'Internet mais aussi à partir d'un réseau local. N'autoriser cette administration qu'à partir d'une machine dédiée bénéficiant d'un contrôle d'accès.

Gestion détaillée du document

    le 04 mai 2006
    version initiale.