OpenVPN : 7 failles corrigées, risque de crash du serveur

Actu Cybersécurité

OpenVPN : 7 failles corrigées, risque de crash du serveur

OpenVPN a publié ce 2 juillet 2026 la version 2.7.5 de son client/serveur VPN open source, avec à la clé la correction de sept failles de sécurité. À quoi correspondent ces vulnérabilités ? Quels sont les risques ? Voici ce que l’on sait.

7 CVE corrigées dans OpenVPN

OpenVPN reste l’une des solutions VPN open source les plus déployées, aussi bien pour les accès distants des entreprises que pour les particuliers qui montent leur propre serveur. Une salve de sept correctifs de sécurité dans un projet comme celui-ci mérite qu’on s’y attarde.

La version 2.7.5, publiée par le développeur Frank Lichtenheld, corrige des bugs qui touchent, selon les cas, le serveur ou le client. D’après le changelog officiel publié sur le dépôt GitHub du projet, les 7 vulnérabilités corrigées sont les suivantes :

  • CVE-2026-13379 (CVSS 8,6 / 10) : sur Windows, une pollution de l’état du service lors des phases de connexion et de déconnexion. Certaines combinaisons d’options et de configuration DNS locale pouvaient corrompre la configuration DNS préexistante de la machine.
  • CVE-2026-12996 : une faille use-after-free dans la fonction , déclenchable par une séquence synchronisée de paquets sur le canal de contrôle et d’authentification.
  • CVE-2026-13117 : une seconde faille use-after-free, cette fois dans , provoquée par une séquence adéquate de paquets de contrôle dynamiques.
  • CVE-2026-13122 : un plantage du serveur à la réception d’un malformé, lorsque l’option est active.
  • CVE-2026-12932 : une fuite mémoire dans la gestion des clés client , pouvant conduire à une situation de saturation mémoire puis au plantage du serveur.
  • CVE-2026-13698 : une autre fuite mémoire, déclenchée par des paquets spécifiques, avec là aussi un risque de saturation mémoire et de crash serveur (déni de service).
  • CVE-2026-11771 : un débordement de tampon d’un octet dans le traitement des réponses proxy NTLMv2.

Plusieurs de ces bugs ont été remontés par des chercheurs en sécurité crédités dans le changelog, parmi lesquels Tristan Madani (@TristanInSec) pour la faille NTLMv2, ainsi que Valton Tahiri et Max Fillinger pour les fuites mémoire liées à .

Ce que je retiens suite à la lecture de ce bulletin de sécurité, c’est que la majorité de ces failles ne mènent pas à une exécution de code à distance, mais plutôt à un déni de service. Même si c’est moins impactant, ce n’est pas rien : faire tomber un serveur VPN peut perturber les utilisateurs dès lors qu’il conditionne l’accès distant d’une organisation. Ce n’est d’ailleurs pas la première fois qu’OpenVPN corrige ce type de faille : en avril 2025, la faille CVE-2025-2704 pouvait déjà faire planter un serveur VPN.

Des bugs volontairement écartés

L’addition aurait pu être plus salée avec cette nouvelle version d’OpenVPN. En effet, plusieurs bugs ont été signalés comme des failles de sécurité, mais l’équipe de développement a fait le choix de ne pas les classer comme tels. C’est le cas du bug (signalé par Haiyang Huang) ou encore d’un problème de gestion multi-socket remonté via l’outil ZeroPath, considéré finalement comme du mauvais code, plutôt qu’une vulnérabilité exploitable.

Si vous utilisez OpenVPN, je vous invite à appliquer la mise à jour vers la 2.7.5. L’installeur MSI pour le client Windows est disponible via la page des téléchargements OpenVPN, et les paquets Linux via les dépôts.

Source : OpenVPN – Release v2.7.5 (changelog officiel)

SOURCE