OpenVPN 2.5.2 və 2.4.11-in düzəldici buraxılışları, iki müştəri maşını arasında şifrələnmiş əlaqəni təşkil etməyə və ya eyni vaxtda bir neçə müştəri üçün mərkəzləşdirilmiş VPN serverini təmin etməyə imkan verən virtual şəxsi şəbəkələrin yaradılması paketi hazırlanmışdır. OpenVPN kodu GPLv2 lisenziyası altında paylanır, Debian, Ubuntu, CentOS, RHEL və Windows üçün hazır ikili paketlər formalaşdırılır.
Yeni buraxılışlar uzaqdan təcavüzkarın VPN parametrlərini sızdırmaq üçün autentifikasiyadan yan keçməsinə və giriş məhdudiyyətlərinə imkan verə biləcək zəifliyi (CVE-2020-15078) həll edir. Problem yalnız təxirə salınmış autentifikasiyadan (deferred_auth) istifadə etmək üçün konfiqurasiya edilmiş serverlərdə baş verir. Təcavüzkar müəyyən şərtlər altında AUTH_FAILED mesajını göndərməzdən əvvəl serveri VPN parametrlərini ehtiva edən PUSH_REPLY mesajını qaytarmağa məcbur edə bilər. "--auth-gen-token" seçiminin istifadəsi və ya istifadəçinin öz token əsaslı autentifikasiya sxemindən istifadə etməsi ilə birlikdə zəiflik işləməyən hesabdan istifadə edərək VPN-ə girişə səbəb ola bilər.
Təhlükəsizliyə aid olmayan dəyişikliklərdən müştəri və server tərəfindən istifadə üçün müzakirə edilən TLS şifrələri haqqında məlumatların çıxışında artım olmuşdur. TLS 1.3 və EC sertifikatlarının dəstəyi ilə bağlı düzgün məlumatlar əlavə edildi. Bundan əlavə, OpenVPN işə salınması zamanı CRL CRL faylının olmaması indi bağlanma xətası kimi qəbul edilir.
Mənbə: opennet.ru