تم إعداد الإصدارات التصحيحية من OpenVPN 2.5.2 و 2.4.11 ، وهي حزمة لإنشاء شبكات افتراضية خاصة تسمح لك بتنظيم اتصال مشفر بين جهازي عميل أو توفير خادم VPN مركزي لعدة عملاء في نفس الوقت. يتم توزيع كود OpenVPN بموجب ترخيص GPLv2 ، ويتم تشكيل حزم ثنائية جاهزة لـ Debian و Ubuntu و CentOS و RHEL و Windows.
تعمل الإصدارات الجديدة على حل ثغرة أمنية (CVE-2020-15078) قد تسمح لمهاجم عن بُعد بتجاوز قيود المصادقة والوصول لتسريب إعدادات VPN. تحدث المشكلة فقط على الخوادم التي تم تكوينها لاستخدام المصادقة المؤجلة (مؤجل_وثيقة). يمكن للمهاجم ، في ظل ظروف معينة ، إجبار الخادم على إعادة رسالة PUSH_REPLY تحتوي على بيانات حول إعدادات VPN قبل إرسال رسالة AUTH_FAILED. بالاقتران مع استخدام خيار "--auth-gen-token" ، أو استخدام المستخدم لنظام المصادقة المستند إلى الرمز المميز الخاص به ، يمكن أن تؤدي الثغرة الأمنية إلى الوصول إلى VPN باستخدام حساب غير عامل.
من بين التغييرات غير المتعلقة بالأمان ، كانت هناك زيادة في مخرجات المعلومات حول أصفار TLS التي تم التفاوض عليها للاستخدام من قبل العميل والخادم. بما في ذلك المعلومات الصحيحة حول دعم TLS 1.3 وتمت إضافة شهادات EC. بالإضافة إلى ذلك ، يتم الآن التعامل مع عدم وجود ملف CRL CRL أثناء بدء تشغيل OpenVPN على أنه خطأ في إيقاف التشغيل.
المصدر: opennet.ru