Падрыхтаваны карэкціруючыя выпускі OpenVPN 2.5.2 і 2.4.11, пакета для стварэння віртуальных прыватных сетак, які дазваляе арганізаваць шыфраванае злучэнне паміж двума кліенцкімі машынамі або забяспечыць працу цэнтралізаванага VPN-сервера для адначасовай працы некалькіх кліентаў. Код OpenVPN распаўсюджваецца пад ліцэнзіяй GPLv2, гатовыя бінарныя пакеты фармуюцца для Debian, Ubuntu, CentOS, RHEL і Windows.
У новых выпусках ухіленая ўразлівасць (CVE-2020-15078), якая дазваляе выдаленаму атакаваламу абыйсці аўтэнтыфікацыю і абмежаванні доступу для арганізацыі ўцечкі дадзеных аб наладах VPN. Праблема выяўляецца толькі на серверах, на якіх наладжана выкарыстанне адкладзенай аўтэнтыфікацыі (deferred_auth). Атакуючы пры вызначаным збегу акалічнасцяў можа прымусіць сервер вярнуць паведамленне PUSH_REPLY c дадзенымі аб наладах VPN да адпраўкі паведамлення AUTH_FAILED. У спалучэнні з выкарыстаннем параметру «auth-gen-token» або прымяненнем карыстальнікам уласнай схему аўтэнтыфікацыі на аснове токенаў, уразлівасць можа прывесці да атрымання доступу да VPN, выкарыстоўваючы непрацоўны ўліковы запіс.
З не звязаных з бяспекай змен адзначаецца пашырэнне высновы інфармацыі аб TLS-шыфрах, узгодненых для выкарыстання кліентам і серверам. У тым ліку дададзены карэктныя звесткі аб падтрымцы TLS 1.3 і EC-сертыфікатаў. Акрамя таго, адсутнасць CRL-файла са спісам адкліканых сертыфікатаў падчас запуску OpenVPN зараз тлумачыцца як памылка, якая прыводзіць да завяршэння працы.
Крыніца: opennet.ru