S'han preparat versions correctives d'OpenVPN 2.5.2 i 2.4.11, un paquet per crear xarxes privades virtuals que permeten organitzar una connexió xifrada entre dues màquines client o proporcionar un servidor VPN centralitzat per a diversos clients alhora. El codi OpenVPN es distribueix sota la llicència GPLv2, es formen paquets binaris preparats per a Debian, Ubuntu, CentOS, RHEL i Windows.
Les noves versions resolen una vulnerabilitat (CVE-2020-15078) que podria permetre a un atacant remot evitar l'autenticació i les restriccions d'accés per filtrar la configuració de VPN. El problema només es produeix als servidors configurats per utilitzar l'autenticació diferida (deferred_auth). Un atacant, en determinades circumstàncies, pot obligar el servidor a retornar un missatge PUSH_REPLY amb dades sobre la configuració de VPN abans d'enviar el missatge AUTH_FAILED. En combinació amb l'ús de l'opció "--auth-gen-token" o l'ús per part de l'usuari del seu propi esquema d'autenticació basat en testimonis, la vulnerabilitat podria provocar l'accés VPN mitjançant un compte que no funciona.
Dels canvis no relacionats amb la seguretat, hi ha hagut un augment en la producció d'informació sobre els xifratge TLS negociats per al client i el servidor. S'ha afegit la informació correcta sobre el suport dels certificats TLS 1.3 i EC. A més, l'absència d'un fitxer CRL CRL durant l'inici d'OpenVPN ara es tracta com un error d'apagada.
Font: opennet.ru