Korrigerende udgivelser af OpenVPN 2.5.2 og 2.4.11, en pakke til at skabe virtuelle private netværk, der giver dig mulighed for at organisere en krypteret forbindelse mellem to klientmaskiner eller levere en centraliseret VPN-server til flere klienter på samme tid, er blevet forberedt. OpenVPN-koden distribueres under GPLv2-licensen, færdige binære pakker dannes til Debian, Ubuntu, CentOS, RHEL og Windows.
Nye udgivelser løser en sårbarhed (CVE-2020-15078), der kan give en fjernangriber mulighed for at omgå godkendelses- og adgangsbegrænsninger for at lække VPN-indstillinger. Problemet opstår kun på servere, der er konfigureret til at bruge udskudt godkendelse (deferred_auth). En angriber kan under visse omstændigheder tvinge serveren til at returnere en PUSH_REPLY-meddelelse, der indeholder VPN-indstillinger, før den sender AUTH_FAILED-meddelelsen. I kombination med brugen af "--auth-gen-token"-indstillingen eller brugerens brug af deres eget token-baserede autentificeringsskema, kan sårbarheden føre til VPN-adgang ved hjælp af en ikke-fungerende konto.
Af de ikke-sikkerhedsrelaterede ændringer har der været en stigning i outputtet af information om de TLS-cifre, der er forhandlet til brug af klienten og serveren. Herunder de korrekte oplysninger om understøttelse af TLS 1.3 og EC-certifikater er tilføjet. Derudover behandles fraværet af en CRL CRL-fil under OpenVPN-opstart nu som en lukningsfejl.
Kilde: opennet.ru