I versioni currettivi di OpenVPN 2.5.2 è 2.4.11, un pacchettu per a creazione di rete privata virtuale chì permettenu di urganizà una cunnessione criptata trà dui macchine cliente o furnisce un servitore VPN centralizatu per parechji clienti à u stessu tempu, sò stati preparati. U codice OpenVPN hè distribuitu sottu a licenza GPLv2, i pacchetti binari pronti sò furmati per Debian, Ubuntu, CentOS, RHEL è Windows.
I novi versioni risolvenu una vulnerabilità (CVE-2020-15078) chì puderia permette à un attaccu remotu di scaccià l'autentificazione è e restrizioni d'accessu per filtrare i paràmetri VPN. U prublema si trova solu in i servitori cunfigurati per utilizà l'autentificazione differita (deferred_auth). Un attaccu, in certi circustanzi, pò furzà u servitore à rinvià un missaghju PUSH_REPLY cù dati nantu à i paràmetri VPN prima di mandà u messagiu AUTH_FAILED. In cumbinazione cù l'usu di l'opzione "--auth-gen-token", o l'usu di l'utilizatori di u so propiu schema di autentificazione basatu in token, a vulnerabilità puderia guidà à l'accessu VPN utilizendu un contu chì ùn funziona.
Di i cambiamenti non-security-related, ci hè statu un aumentu di l'output di l'infurmazioni nantu à i cifri TLS negoziati per l'usu da u cliente è u servitore. Includendu l'infurmazioni currette nantu à u supportu di i certificati TLS 1.3 è EC hè statu aghjuntu. Inoltre, l'absenza di un schedariu CRL CRL durante l'iniziu OpenVPN hè issa trattatu cum'è un errore di chjusu.
Source: opennet.ru