E versioni correttive sò state preparate OpenVPN 2.5.2 è 2.4.11, un pacchettu per a creazione di reti private virtuali, chì vi permette di urganizà una cunnessione criptata trà duie macchine client o di furnisce un servitore VPN centralizatu per u funziunamentu simultaneu di parechji clienti. Codice OpenVPN distribuitu sottu a licenza GPLv2, i pacchetti binari pronti sò generati per Debian, Ubuntu, CentOS, RHEL è Windows.
E nuove versioni curreggenu una vulnerabilità (CVE-2020-15078) chì permette à un attaccante remotu di saltà l'autenticazione è e restrizioni d'accessu per divulgà i paràmetri VPN. U prublema affetta solu i servitori cunfigurati per aduprà l'autenticazione differita (deferred_auth). In certe circustanze, un attaccante pò furzà u servitore à restituisce un missaghju PUSH_REPLY chì cuntene i paràmetri. VPN prima di mandà u messagiu AUTH_FAILED. Quandu hè cumminata cù u parametru "--auth-gen-token" o u schema di autentificazione basatu annantu à i token di un utilizatore, a vulnerabilità pò purtà à l'accessu VPN utilizendu un contu micca funziunale.
Trà i cambiamenti micca di sicurezza, l'output di l'infurmazioni nantu à i cifrari TLS accunsentiti per l'usu da u cliente hè allargatu è servitoreQuestu include l'infurmazioni currette nantu à u supportu di certificati TLS 1.3 è EC. Inoltre, u schedariu CRL chì cuntene a lista di certificati revucati mancava durante l'avviu. OpenVPN hè avà trattatu cum'è un errore chì risulta in a terminazione.
Source: opennet.ru
