OpenVPN 2.6.7 arrive pour résoudre deux problèmes de sécurité

Darkcrizt

Minutes 4

OpenVPN

OpenVPN est un outil de connectivité basé sur un logiciel libre : SSL, VPN Virtual Private Network.

Le lancement de la nouvelle version d'OpenVPN 2.6.7 a été récemment annoncé, qui est une version qui implémente la solution à deux problèmes de sécurité considérés comme graves, ainsi que l'implémentation d'avertissements, entre autres.

Pour ceux qui ne connaissent pas OpenVPN, sachez que il s'agit d'un outil de connectivité basé sur un logiciel gratuit, SSL (Secure Sockets Layer), réseau privé virtuel VPN.

OpenVPN offre une connectivité point à point avec validation hiérarchique des utilisateurs et des hôtes connectés à distance. C'est une très bonne option dans les technologies Wi-Fi (réseaux sans fil IEEE 802.11) et prend en charge une configuration large, y compris l'équilibrage de charge.

Principales nouveautés d'OpenVPN 2.6.7

Comme déjà évoqué au début, cette nouvelle version d'OpenVPN 2.6.7 met en avant les solution à deux problèmes de sécurité graves, dont le premier est la vulnérabilité CVE-2023-46850, causé par l'utilisation de la mémoire lors de la libération, le contenu de la mémoire du processus pourrait être envoyé de l'autre côté de la connexion et potentiellement conduire à l'exécution de code à distance. Le problème se produit dans les configurations qui utilisent TLS (exécuter sans l'option « –secret »).

Les autres problèmes de sécurité qui a été abordé dans cette nouvelle version, est CVE-2023-46849, qui est provoqué par une situation de division par zéro, peut provoquer une panne du serveur d'accès distant dans les configurations qui utilisent l'option « –fragment ».

Concernant les changements implémentés dans cette version d'OpenVPN 2.6.7, il est souligné que ajout d'un avertissement lorsque l'autre côté envoie des paquets DATA_V1 lorsque vous essayez de connecter un client OpenVPN 2.6.x à des serveurs incompatibles basés sur les versions 2.4.0-2.4.4 (vous pouvez utiliser l'option « –disable-dco » pour résoudre l'incompatibilité).

En plus de cela, aussi ajout d'un avertissement lors de la connexion d'un client NCP p2p à un serveur p2mp (la fusion fonctionnait sans négociation de chiffrement) car il y avait des problèmes lors de l'utilisation des versions 2.6.x des deux côtés de la connexion.

Suppression d'une méthode obsolète liée à OpenSSL 1.x qui utilise le moteur OpenSSL pour charger les clés. La raison invoquée est la réticence de l'auteur à accorder une nouvelle licence au code avec de nouvelles exceptions de lien.

Des autres changements qui se démarquent de cette nouvelle version:

  • Ajout d'un avertissement indiquant que l'indicateur « –show-groups » n'affiche pas tous les groupes pris en charge.
  • Dans le paramètre « –dns », le traitement de l'argument « exclure-domaines », apparu dans la branche 2.6 mais n'étant pas encore supporté sur les serveurs, a été supprimé.
  • Ajout d'un avertissement qui sera affiché si le message de contrôle INFO est trop volumineux pour être transmis au client.
  • Pour les builds utilisant MinGW et MSVC, la prise en charge du système de build CMake a été ajoutée.
  • Suppression de la prise en charge de l'ancien système de build MSVC.
  • enregistrer les erreurs OpenSSL si le certificat n'est pas défini, par exemple si les algorithmes utilisés sont acceptables pour OpenSSL (un message trompeur serait imprimé dans les scénarios cryptoapi/pkcs11)
  • Ajout du système de build CMake pour les builds MinGW et MSVC
  • Construction améliorée des tests unitaires cmocka pour Windows

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.

Comment installer OpenVPN sur Ubuntu et dérivés ?

Pour ceux qui souhaitent pouvoir installer OpenVPN sur leur système, sachez que ils peuvent le faire en suivant les instructions qui sont partagés sur le site officiel d’OpenVPN. Le lien est le suivant.

Bien que L'une des méthodes les plus simples pour installer OpenVPN consiste à utiliser un script. installation qui facilite grandement le processus d’installation et de configuration. Pour ce faire nous allons télécharger le script suivant avec :

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

Et nous procédons à l'exécution du script en tant que root et à l'activation du module TUN :

./openvpn-install.sh

Pendant le processus, vous devrez suivre l'assistant et répondre à quelques questions pour configurer votre serveur VPN et une fois le processus terminé et OpenVPN installé, vous pourrez réexécuter le script et vous aurez la possibilité de :

  1. Ajouter un client
  2. Supprimer un client
  3. Désinstaller OpenVPN