የ OpenVPN 2.6.7 መለቀቅ ተዘጋጅቷል፣ ይህም በሁለት የደንበኛ ማሽኖች መካከል የተመሰጠረ ግንኙነትን ለማደራጀት ወይም የተማከለ የቪፒኤን አገልጋይ ለማቅረብ የሚያስችል ምናባዊ የግል አውታረ መረቦችን ለመፍጠር የሚያስችል ፓኬጅ ተዘጋጅቷል። አዲሱ ስሪት ሁለት ተጋላጭነቶችን ያስተካክላል፡-
- CVE-2023-46850 - ከጥቅም በኋላ ነፃ ወደ ማህደረ ትውስታ ክልል መድረስ የሂደቱ ማህደረ ትውስታ ይዘት ወደ ሌላኛው የግንኙነቱ ክፍል እንዲላክ እና ወደ የርቀት ኮድ አፈፃፀም ሊያመራ ይችላል። ችግሩ የሚከሰተው TLS በሚጠቀሙ ውቅሮች ውስጥ ነው (ያለ ሚስጥራዊ አማራጭ ያሂዱ)።
- CVE-2023-46849 በዜሮ የሚከፋፈል ሁኔታ -- ቁርጥራጭ አማራጭን በሚጠቀሙ ውቅሮች ላይ የርቀት መዳረሻ አገልጋይ ብልሽት ሊያስከትል ይችላል።
በOpenVPN 2.6.7 ውስጥ የደህንነት ያልሆኑ ለውጦች፡-
- በሌላኛው ወገን የOpenVPN 1.x ደንበኛን በ2.6-2.4.0 ስሪቶች ላይ ተመስርተው ወደማይስማሙ አገልጋዮች ለማገናኘት ሲሞክር DATA_V2.4.4 ፓኬቶችን ሲልክ ማስጠንቀቂያ ታክሏል (ተኳሃኝነትን ለማስወገድ የ"--disable-dco" አማራጭን መጠቀም ትችላለህ) .
- ቁልፎችን ለመጫን የOpenSSL ኤንጂንን ከሚጠቀም ከOpenSSL 1.x ጋር የተሳሰረ ጊዜ ያለፈበት ዘዴ ተወግዷል። የተጠቀሰው ምክንያት የጸሐፊው ኮዱን በአዲስ የማገናኘት ልዩ ሁኔታዎች እንደገና ለመጠቀም ፈቃደኛ አለመሆኑ ነው።
- የ p2p NCP ደንበኛን ከ ጋር ሲያገናኙ ማስጠንቀቂያ ተጨምሯል አገልጋይ p2mp (ያለ ሳይፈር ድርድር ለመስራት የሚያገለግል ጥምረት) ምክንያቱም በሁለቱም የግንኙነቱ ጎኖች ላይ ስሪቶች 2.6.x ሲጠቀሙ ችግሮች አሉ።
- የ"--show-groups" ባንዲራ ሁሉንም የሚደገፉ ቡድኖችን እንደማያሳይ ማስጠንቀቂያ ታክሏል።
- በ "- ዲ ኤን ኤስ" ግቤት ውስጥ በቅርንጫፍ 2.6 ላይ የሚታየው የ"exclude-domains" ክርክር ሂደት ተወግዷል።
- የ INFO መቆጣጠሪያ መልእክቱ በጣም ትልቅ ከሆነ ለደንበኛው ለማስተላለፍ ማስጠንቀቂያ እንዲታይ ታክሏል።
- MinGW እና MSVCን ለሚጠቀሙ ግንባታዎች፣ ለCMake ግንባታ ስርዓት ድጋፍ ታክሏል። ለቀድሞው የ MSVC ግንባታ ስርዓት ድጋፍ ተወግዷል።
በተጨማሪም፣ በክፍት ቦታዎች ላይ 9 ተጋላጭነቶችን መለየት ጠቃሚ ነው የ VPN- የሶፍትኤተር አገልጋይ። አንድ ችግር (CVE-2023-27395) ወሳኝ የሆነ የክብደት ደረጃ ተመድቦለታል - በቋት ፍሰት ምክንያት የሚመጣ ሲሆን ከአጥቂ ቁጥጥር የሚደረግበት አገልጋይ ጋር ለመገናኘት ሲሞክር በደንበኛው በኩል የርቀት ኮድ አፈፃፀም ሊያስከትል ይችላል። ተጋላጭነቱ በሰኔ ወር የSoftEther VPN 4.42 Build 9798 RTM ዝመና ላይ ተስተካክሏል። ሁለት ተጨማሪ ተጋላጭነቶች (CVE-2023-32634 እና CVE-2023-27516) ለRPC አገልጋይ ነባሪ ምስክርነቶችን በመጠቀም በሰው-መካከል ጥቃት ወቅት ወደ VPN ክፍለ ጊዜ ያልተፈቀደ መዳረሻን ይፈቅዳሉ። እነዚህ ተጋላጭነቶች ተስተካክለዋል።
ተጋላጭነቶች CVE-2023-31192 እና CVE-2023-32275 (patch) በ MITM ጥቃቶች ምክንያት ሚስጥራዊ መረጃ በአንዳንድ ፓኬጆች ውስጥ እንዲፈስ ሊያደርግ ይችላል። ቀሪዎቹ 4 ተጋላጭነቶች (CVE-2023-22325፣ CVE-2023-23581፣ CVE-2023-22308 እና CVE-2023-25774) እንደ ግኑኝነት ማስገደድ ወይም ደንበኛን ማቋረጥን የመሳሰሉ የአገልግሎት ውድቀቶችን ሊያደርጉ ይችላሉ። የሶፍት ኢተር ቪፒኤን ኮድ ቤዝ እንዲሁ በቅርብ ጊዜ ለ7 ተጋላጭነቶች ጥገናዎችን ተቀብሏል፣ ዝርዝራቸው እስካሁን አይገኝም።
ምንጭ: opennet.ru
