Έχουν ετοιμαστεί διορθωτικές εκδόσεις OpenVPN 2.5.2 και 2.4.11, ένα πακέτο για τη δημιουργία εικονικών ιδιωτικών δικτύων που σας επιτρέπουν να οργανώσετε μια κρυπτογραφημένη σύνδεση μεταξύ δύο υπολογιστών-πελατών ή να παρέχετε έναν κεντρικό διακομιστή VPN για πολλούς πελάτες ταυτόχρονα. Ο κώδικας OpenVPN διανέμεται με την άδεια GPLv2, διαμορφώνονται έτοιμα δυαδικά πακέτα για Debian, Ubuntu, CentOS, RHEL και Windows.
Οι νέες εκδόσεις επιλύουν ένα θέμα ευπάθειας (CVE-2020-15078) που θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να παρακάμψει τον έλεγχο ταυτότητας και τους περιορισμούς πρόσβασης για να διαρρεύσει ρυθμίσεις VPN. Το ζήτημα παρουσιάζεται μόνο σε διακομιστές που έχουν ρυθμιστεί να χρησιμοποιούν αναβαλλόμενο έλεγχο ταυτότητας (deferred_auth). Ένας εισβολέας, υπό ορισμένες συνθήκες, μπορεί να αναγκάσει τον διακομιστή να επιστρέψει ένα μήνυμα PUSH_REPLY που περιέχει ρυθμίσεις VPN πριν στείλει το μήνυμα AUTH_FAILED. Σε συνδυασμό με τη χρήση της επιλογής "--auth-gen-token" ή τη χρήση από τον χρήστη του δικού του συστήματος ελέγχου ταυτότητας που βασίζεται σε διακριτικά, η ευπάθεια θα μπορούσε να οδηγήσει σε πρόσβαση VPN χρησιμοποιώντας έναν λογαριασμό που δεν λειτουργεί.
Από τις αλλαγές που δεν σχετίζονται με την ασφάλεια, σημειώθηκε αύξηση στην παραγωγή πληροφοριών σχετικά με τους κρυπτογράφησης TLS που διαπραγματεύονται για χρήση από τον πελάτη και τον διακομιστή. Συμπεριλαμβάνονται οι σωστές πληροφορίες σχετικά με την υποστήριξη των πιστοποιητικών TLS 1.3 και EC. Επιπλέον, η απουσία αρχείου CRL CRL κατά την εκκίνηση του OpenVPN αντιμετωπίζεται πλέον ως σφάλμα τερματισμού λειτουργίας.
Πηγή: opennet.ru