Korrigerende udgivelser er blevet udarbejdet OpenVPN 2.5.2 og 2.4.11, en pakke til oprettelse af virtuelle private netværk, der giver dig mulighed for at organisere en krypteret forbindelse mellem to klientmaskiner eller stille en centraliseret VPN-server til rådighed til samtidig drift af flere klienter. Kode OpenVPN distribueret under GPLv2-licensen, genereres færdige binære pakker til Debian, Ubuntu, CentOS, RHEL og Windows.
De nye udgivelser retter en sårbarhed (CVE-2020-15078), der tillader en ekstern angriber at omgå godkendelses- og adgangsbegrænsninger for at lække VPN-indstillinger. Problemet påvirker kun servere, der er konfigureret til at bruge udskudt godkendelse (deferred_auth). Under visse omstændigheder kan en angriber tvinge serveren til at returnere en PUSH_REPLY-meddelelse, der indeholder indstillingerne. VPN før AUTH_FAILED-meddelelsen sendes. Når sårbarheden kombineres med parameteren "--auth-gen-token" eller en brugers egen tokenbaserede godkendelsesordning, kan den føre til VPN-adgang ved hjælp af en ikke-funktionel konto.
Blandt de ikke-sikkerhedsmæssige ændringer udvides outputtet af information om de TLS-chiffere, der er aftalt til brug for klienten, og serverDette inkluderer korrekte oplysninger om TLS 1.3 og EC-certifikatsupport. Derudover manglede CRL-filen med listen over tilbagekaldte certifikater under opstart. OpenVPN behandles nu som en fejl, der resulterer i opsigelse.
Kilde: opennet.ru
