Mae datganiadau cywirol o OpenVPN 2.5.2 a 2.4.11, pecyn ar gyfer creu rhwydweithiau preifat rhithwir sy'n eich galluogi i drefnu cysylltiad wedi'i amgryptio rhwng dau beiriant cleient neu ddarparu gweinydd VPN canolog ar gyfer cleientiaid lluosog ar yr un pryd. Mae'r cod OpenVPN yn cael ei ddosbarthu o dan y drwydded GPLv2, mae pecynnau deuaidd parod yn cael eu ffurfio ar gyfer Debian, Ubuntu, CentOS, RHEL a Windows.
Mae datganiadau newydd yn datrys bregusrwydd (CVE-2020-15078) a allai ganiatΓ‘u i ymosodwr o bell osgoi cyfyngiadau dilysu a mynediad i ollwng gosodiadau VPN. Mae'r broblem ond yn digwydd ar weinyddion sydd wedi'u ffurfweddu i ddefnyddio dilysiad gohiriedig (deferred_auth). Gall ymosodwr, o dan rai amgylchiadau, orfodi'r gweinydd i ddychwelyd neges PUSH_REPLY yn cynnwys gosodiadau VPN cyn anfon y neges AUTH_FAILED. Ar y cyd Γ’'r defnydd o'r opsiwn "--auth-gen-token", neu ddefnydd y defnyddiwr o'u cynllun dilysu eu hunain yn seiliedig ar docynnau, gallai'r bregusrwydd arwain at fynediad VPN gan ddefnyddio cyfrif nad yw'n gweithio.
O'r newidiadau nad ydynt yn ymwneud Γ’ diogelwch, bu cynnydd yn allbwn gwybodaeth am y seiffrau TLS a drafodwyd i'w defnyddio gan y cleient a'r gweinydd. Mae cynnwys y wybodaeth gywir am gefnogaeth TLS 1.3 a thystysgrifau EC wedi'i ychwanegu. Yn ogystal, mae absenoldeb ffeil CRL CRL yn ystod cychwyn OpenVPN bellach yn cael ei drin fel gwall cau.
Ffynhonnell: opennet.ru