Korrektiewe vrystellings van OpenVPN 2.5.2 en 2.4.11, 'n pakket vir die skep van virtuele privaat netwerke wat jou toelaat om 'n geënkripteerde verbinding tussen twee kliëntmasjiene te organiseer of 'n gesentraliseerde VPN-bediener vir verskeie kliënte op dieselfde tyd te verskaf, is voorberei. Die OpenVPN-kode word onder die GPLv2-lisensie versprei, klaargemaakte binêre pakkette word gevorm vir Debian, Ubuntu, CentOS, RHEL en Windows.
Nuwe vrystellings los 'n kwesbaarheid op (CVE-2020-15078) wat 'n afgeleë aanvaller kan toelaat om verifikasie en toegangsbeperkings te omseil om VPN-instellings uit te lek. Die probleem kom slegs voor op bedieners wat opgestel is om uitgestelde stawing (deferred_auth) te gebruik. 'n Aanvaller kan onder sekere omstandighede die bediener dwing om 'n PUSH_REPLY-boodskap met data oor die VPN-instellings terug te stuur voordat die AUTH_FAILED-boodskap gestuur word. In kombinasie met die gebruik van die "--auth-gen-token" opsie, of die gebruiker se gebruik van hul eie token-gebaseerde stawingskema, kan die kwesbaarheid lei tot VPN-toegang deur 'n nie-werkende rekening te gebruik.
Van die nie-sekuriteitsverwante veranderinge was daar 'n toename in die uitset van inligting oor die TLS-syfers wat onderhandel is vir gebruik deur die kliënt en bediener. Insluitend die korrekte inligting oor die ondersteuning van TLS 1.3 en EC-sertifikate is bygevoeg. Boonop word die afwesigheid van 'n CRL CRL-lêer tydens OpenVPN-opstart nou as 'n afsluitfout behandel.
Bron: opennet.ru