Pripremljena su korektivna izdanja OpenVPN 2.5.2 i 2.4.11, paketa za kreiranje virtuelnih privatnih mreža koji vam omogućavaju da organizujete šifrovanu vezu između dve klijentske mašine ili da obezbedite centralizovani VPN server za više klijenata istovremeno. OpenVPN kod se distribuira pod GPLv2 licencom, formiraju se gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.
Nova izdanja rješavaju ranjivost (CVE-2020-15078) koja bi mogla omogućiti udaljenom napadaču da zaobiđe autentifikaciju i ograničenja pristupa kako bi procurila VPN postavke. Problem se javlja samo na serverima koji su konfigurisani da koriste odgođenu autentifikaciju (deferred_auth). Napadač, pod određenim okolnostima, može prisiliti server da vrati PUSH_REPLY poruku koja sadrži VPN postavke prije slanja poruke AUTH_FAILED. U kombinaciji s upotrebom opcije "--auth-gen-token" ili korištenjem vlastite šeme autentikacije zasnovane na tokenu, ranjivost bi mogla dovesti do pristupa VPN-u pomoću nefunkcionalnog naloga.
Od promjena koje se ne odnose na sigurnost, došlo je do povećanja izlaza informacija o TLS šiframa dogovorenim za korištenje od strane klijenta i servera. Uključujući tačne informacije o podršci za TLS 1.3 i EC certifikate su dodani. Osim toga, odsustvo CRL CRL datoteke tokom pokretanja OpenVPN-a sada se tretira kao greška pri gašenju.
izvor: opennet.ru