Update für OpenVPN 2.5.2 und 2.4.11 zur Behebung einer Sicherheitsanfälligkeit.

Es wurden die Korrekturversionen OpenVPN 2.5.2 und 2.4.11 veröffentlicht, die es ermöglichen, virtuelle private Netzwerke zu erstellen und eine verschlüsselte Verbindung zwischen zwei Client-Geräten herzustellen oder einen zentralisierten VPN-Server zu betreiben, der mehreren Clients gleichzeitig dient. Der OpenVPN-Code wird unter der GPLv2-Lizenz veröffentlicht, fertige Binärpakete werden für Debian, Ubuntu, CentOS, RHEL und Windows zur Verfügung gestellt.

In den neuen Versionen wurde die Sicherheitslücke (CVE-2020-15078) geschlossen, die es einem Angreifer aus der Ferne ermöglichte, die Authentifizierung und Zugriffsbedingungen zu umgehen, was zu einem Datenleck über die VPN-Konfiguration führen könnte. Das Problem tritt nur auf Servern auf, auf denen die verzögerte Authentifizierung (deferred_auth) aktiviert ist. Ein Angreifer kann unter bestimmten Umständen den Server dazu bringen, eine PUSH_REPLY-Nachricht mit Konfigurationsdaten zurückzugeben. VPN Dies geschieht vor dem Senden der AUTH_FAILED-Nachricht. In Kombination mit der Nutzung der Option „—auth-gen-token“ oder der Verwendung eines benutzerdefinierten Authentifizierungsschemas auf Tokenbasis könnte die Schwachstelle dazu führen, dass Zugriff auf das VPN mit einem inaktiven Benutzerkonto erlangt wird.

Zu den sicherheitsunabhängigen Änderungen gehört die Erweiterung der Informationen über die TLS-Verschlüsselungsalgorithmen, die für die Verwendung durch den Client vereinbart sind, und dem Server durch. Es wurden auch korrekte Angaben zur Unterstützung von TLS 1.3 und EC-Zertifikaten hinzugefügt. Darüber hinaus wird das Fehlen einer CRL-Datei mit einer Liste von widerrufenen Zertifikaten beim Start von OpenVPN nun als Fehler gewertet, der zum Programmabbruch führt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster