Ang corrective releases sa OpenVPN 2.5.2 ug 2.4.11, usa ka package alang sa pagmugna og virtual private networks nga nagtugot kanimo sa pag-organisar og encrypted connection tali sa duha ka client machine o paghatag og centralized VPN server alang sa daghang mga kliyente sa samang higayon, giandam na. Ang OpenVPN code giapod-apod ubos sa GPLv2 nga lisensya, ang mga binary nga mga pakete nga andam naporma alang sa Debian, Ubuntu, CentOS, RHEL ug Windows.
Ang mga bag-ong pagpagawas nagsulbad sa usa ka pagkahuyang (CVE-2020-15078) nga mahimong magtugot sa usa ka hilit nga tig-atake nga laktawan ang pag-authenticate ug pag-access sa mga pagdili aron ma-leak ang mga setting sa VPN. Ang isyu mahitabo lamang sa mga server nga gi-configure aron gamiton ang gi-defer nga pag-authenticate (deferred_auth). Ang usa ka tig-atake, ubos sa pipila ka mga kahimtang, makapugos sa server sa pagbalik og PUSH_REPLY nga mensahe nga adunay mga setting sa VPN sa dili pa ipadala ang AUTH_FAILED nga mensahe. Sa kombinasyon sa paggamit sa "--auth-gen-token" nga opsyon, o ang paggamit sa user sa ilang kaugalingong token-based authentication scheme, ang vulnerability mahimong mosangpot sa VPN access gamit ang non-working account.
Sa mga pagbag-o nga walaβy kalabotan sa seguridad, adunay pagtaas sa output sa kasayuran bahin sa mga cipher sa TLS nga nakigsabot aron magamit sa kliyente ug server. Naglakip sa husto nga kasayuran bahin sa suporta sa TLS 1.3 ug EC nga mga sertipiko gidugang. Dugang pa, ang pagkawala sa usa ka CRL CRL file sa panahon sa OpenVPN nga pagsugod karon giisip nga usa ka sayup sa pagsira.
Source: opennet.ru