Bulletin d'alerte Debian

DLA-999-1 openvpn -- Mise à jour de sécurité pour LTS

Date du rapport :
22 juin 2017
Paquets concernés :
openvpn
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7520.
Plus de précisions :

Il existait plusieurs vulnérabilités de lecture de mémoire hors limites dans openvpn, un démon populaire de réseau privé virtuel (VPN).

Si des clients utilisaient un mandataire HTTP avec une authentification NTLM, une attaque de type « homme du milieu » pourrait causer le plantage du client ou divulguer au plus 96 bytes de mémoire de pile, contenant probablement le mot de passe du mandataire.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.2.1-8+deb7u5 de openvpn.

Nous vous recommandons de mettre à jour vos paquets openvpn.