Es wurden Korrekturversionen von OpenVPN 2.5.2 und 2.4.11 vorbereitet, einem Paket zum Erstellen virtueller privater Netzwerke, mit denen Sie eine verschlüsselte Verbindung zwischen zwei Client-Rechnern organisieren oder einen zentralen VPN-Server für mehrere Clients gleichzeitig bereitstellen können. Der OpenVPN-Code wird unter der GPLv2-Lizenz vertrieben, es werden vorgefertigte Binärpakete für Debian, Ubuntu, CentOS, RHEL und Windows erstellt.
Neue Versionen beheben eine Schwachstelle (CVE-2020-15078), die es einem Remote-Angreifer ermöglichen könnte, Authentifizierungs- und Zugriffsbeschränkungen zu umgehen, um VPN-Einstellungen preiszugeben. Das Problem tritt nur auf Servern auf, die für die Verwendung der verzögerten Authentifizierung (deferred_auth) konfiguriert sind. Unter bestimmten Umständen kann ein Angreifer den Server zwingen, eine PUSH_REPLY-Nachricht mit Daten zu den VPN-Einstellungen zurückzusenden, bevor er die AUTH_FAILED-Nachricht sendet. In Kombination mit der Verwendung der Option „--auth-gen-token“ oder der Verwendung eines eigenen tokenbasierten Authentifizierungsschemas durch den Benutzer könnte die Sicherheitslücke zu einem VPN-Zugriff über ein nicht funktionierendes Konto führen.
Zu den nicht sicherheitsrelevanten Änderungen zählt ein Anstieg der Ausgabe von Informationen über die TLS-Chiffren, die für die Verwendung durch Client und Server ausgehandelt wurden. Einschließlich der korrekten Informationen zur Unterstützung von TLS 1.3 und EC-Zertifikaten wurde hinzugefügt. Darüber hinaus wird das Fehlen einer CRL-CRL-Datei beim Start von OpenVPN jetzt als Fehler beim Herunterfahren behandelt.
Source: opennet.ru