Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Les versions OpenVPN 2.0 à 2.0.5.

Résumé

Une vulnérabilité permet à un utilisateur malveillant de forcer la configuration d'un client OpenVPN et de lancer des commandes arbitraires à distance.

Description

OpenVPN est un système client-serveur. Un utilisateur malveillant ayant compromis le serveur peut modifier la configuration d'un client au moyen de la commande setenv. Il peut aussi profiter de cette propriété pour lancer un code malveillant à l'insu du client et donc exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation