ওপেনভিপিএন 2.5.2 এবং 2.4.11 দুর্বলতার সমাধান সহ আপডেট

OpenVPN 2.5.2 এবং 2.4.11 এর সংশোধনমূলক রিলিজ, ভার্চুয়াল প্রাইভেট নেটওয়ার্ক তৈরি করার জন্য একটি প্যাকেজ যা আপনাকে দুটি ক্লায়েন্ট মেশিনের মধ্যে একটি এনক্রিপ্ট করা সংযোগ সংগঠিত করতে বা একই সময়ে একাধিক ক্লায়েন্টের জন্য একটি কেন্দ্রীভূত VPN সার্ভার প্রদান করতে দেয়, প্রস্তুত করা হয়েছে। OpenVPN কোড GPLv2 লাইসেন্সের অধীনে বিতরণ করা হয়, ডেবিয়ান, উবুন্টু, CentOS, RHEL এবং উইন্ডোজের জন্য তৈরি বাইনারি প্যাকেজগুলি তৈরি করা হয়।

নতুন রিলিজগুলি একটি দুর্বলতা (CVE-2020-15078) সমাধান করে যা একটি দূরবর্তী আক্রমণকারীকে VPN সেটিংস ফাঁস করার জন্য প্রমাণীকরণ এবং অ্যাক্সেস সীমাবদ্ধতাগুলিকে বাইপাস করতে দেয়। সমস্যাটি শুধুমাত্র ডিফারড প্রমাণীকরণ (deferred_auth) ব্যবহার করার জন্য কনফিগার করা সার্ভারে ঘটে। একটি আক্রমণকারী, নির্দিষ্ট পরিস্থিতিতে, সার্ভারকে AUTH_FAILED বার্তা পাঠানোর আগে VPN সেটিংস সম্পর্কে ডেটা সহ একটি PUSH_REPLY বার্তা ফেরত দিতে বাধ্য করতে পারে৷ "--অথ-জেন-টোকেন" বিকল্পের ব্যবহার, অথবা ব্যবহারকারীর নিজস্ব টোকেন-ভিত্তিক প্রমাণীকরণ স্কিম ব্যবহারের সাথে, দুর্বলতা একটি নন-ওয়ার্কিং অ্যাকাউন্ট ব্যবহার করে ভিপিএন অ্যাক্সেসের দিকে নিয়ে যেতে পারে।

অ-নিরাপত্তা-সম্পর্কিত পরিবর্তনগুলির মধ্যে, ক্লায়েন্ট এবং সার্ভারের দ্বারা ব্যবহারের জন্য আলোচনা করা TLS সাইফার সম্পর্কে তথ্যের আউটপুট বৃদ্ধি পেয়েছে। TLS 1.3 এবং EC সার্টিফিকেটের সমর্থন সম্পর্কে সঠিক তথ্য সহ যোগ করা হয়েছে। উপরন্তু, OpenVPN স্টার্টআপের সময় একটি CRL CRL ফাইলের অনুপস্থিতি এখন একটি শাটডাউন ত্রুটি হিসাবে বিবেচিত হয়।

উত্স: opennet.ru