የማስተካከያ ልቀቶች ተዘጋጅተዋል OpenVPN 2.5.2 እና 2.4.11፣ ምናባዊ የግል አውታረ መረቦችን ለመፍጠር የሚያገለግል ፓኬጅ፣ በሁለት የደንበኛ ማሽኖች መካከል የተመሰጠረ ግንኙነት እንዲያደራጁ ወይም ለብዙ ደንበኞች በአንድ ጊዜ እንዲሰሩ የሚያስችል ማዕከላዊ የቪፒኤን አገልጋይ እንዲያቀርቡ ያስችልዎታል። ኮድ። OpenVPN በ GPLv2 ፈቃድ ስር የተሰራጩ፣ ዝግጁ የሆኑ ሁለትዮሽ ፓኬጆች የሚመነጩት ለ Debian, Ubuntu, CentOS, RHEL እና Windows.
አዲሶቹ ልቀቶች የርቀት አጥቂ የማረጋገጫ እና የፍሰት ገደቦችን እንዲያልፍ የሚያስችል ተጋላጭነትን (CVE-2020-15078) ያስተካክላሉ፤ ይህም የርቀት አጥቂ የቪፒኤን ቅንብሮችን ለማለፍ የሚያስችሉ ገደቦችን እንዲያልፍ ያስችለዋል። ችግሩ የሚጎዳው የዘገየ ማረጋገጫን (deferred_auth) እንዲጠቀሙ የተዋቀሩ አገልጋዮችን ብቻ ነው። በተወሰኑ ሁኔታዎች ውስጥ፣ አንድ አጥቂ አገልጋዩ ቅንብሮቹን የያዘ የPUSH_REPLY መልእክት እንዲመልስ ሊያስገድደው ይችላል። የ VPN የAUTH_FAILED መልእክት ከመላክዎ በፊት። ከ"-auth-gen-token" መለኪያ ወይም ከተጠቃሚው በራሱ የቶከን-ተኮር የማረጋገጫ ዘዴ ጋር ሲጣመር፣ ተጋላጭነቱ ተግባራዊ ያልሆነ መለያ በመጠቀም የቪፒኤን መዳረሻ ሊያስከትል ይችላል።
ከደህንነት ውጪ ከሆኑ ለውጦች መካከል፣ ደንበኛው ጥቅም ላይ እንዲውል የተስማሙበትን የTLS ሚስጥራዊ መረጃዎች ውጤት ማስፋት እና አገልጋይይህ ስለ TLS 1.3 እና EC የምስክር ወረቀት ድጋፍ ትክክለኛ መረጃ ያካትታል። በተጨማሪም፣ የተሰረዙ የምስክር ወረቀቶችን ዝርዝር የያዘው የCRL ፋይል በጅምር ጊዜ ጠፍቷል። OpenVPN አሁን ወደ መቋረጥ የሚመራ ስህተት ተደርጎ ይቆጠራል።
ምንጭ: opennet.ru
