Byly připraveny opravné verze OpenVPN 2.5.2 a 2.4.11, balíčku pro vytváření virtuálních privátních sítí, které umožňují organizovat šifrované spojení mezi dvěma klientskými stroji nebo poskytovat centralizovaný VPN server pro více klientů současně. Kód OpenVPN je distribuován pod licencí GPLv2, jsou vytvořeny hotové binární balíčky pro Debian, Ubuntu, CentOS, RHEL a Windows.
Nové verze řeší zranitelnost (CVE-2020-15078), která by mohla umožnit vzdálenému útočníkovi obejít omezení ověřování a přístupu za účelem úniku nastavení VPN. K problému dochází pouze na serverech nakonfigurovaných pro použití odloženého ověřování (deferred_auth). Útočník může za určitých okolností donutit server, aby před odesláním zprávy AUTH_FAILED vrátil zprávu PUSH_REPLY s údaji o nastavení VPN. V kombinaci s použitím možnosti „--auth-gen-token“ nebo s použitím vlastního autentizačního schématu založeného na tokenech uživatelem by tato chyba zabezpečení mohla vést k přístupu k VPN pomocí nefunkčního účtu.
Ze změn, které se netýkají zabezpečení, došlo ke zvýšení výstupu informací o šifrách TLS vyjednaných pro použití klientem a serverem. Včetně správných informací o podpoře TLS 1.3 a EC certifikátů. Navíc absence souboru CRL CRL při spouštění OpenVPN je nyní považována za chybu při vypínání.
Zdroj: opennet.ru