Oni preparis korektajn eldonojn de OpenVPN 2.5.2 kaj 2.4.11, pako por krei virtualajn privatajn retojn, kiuj ebligas organizi ĉifritan konekton inter du klientmaŝinoj aŭ provizi centralizitan VPN-servilon por pluraj klientoj samtempe. La OpenVPN-kodo estas distribuita sub la permesilo GPLv2, pretaj binaraj pakaĵoj estas formitaj por Debian, Ubuntu, CentOS, RHEL kaj Vindozo.
Novaj eldonoj solvas vundeblecon (CVE-2020-15078), kiu povus permesi al fora atakanto preteriri aŭtentikigon kaj aliri limigojn por liki VPN-agordojn. La problemo okazas nur ĉe serviloj agorditaj por uzi prokrastan aŭtentigon (deferred_auth). Atakanto, en certaj cirkonstancoj, povas devigi la servilon resendi PUSH_REPLY-mesaĝon kun datumoj pri la VPN-agordoj antaŭ sendi la AUTH_FAILED-mesaĝon. En kombinaĵo kun la uzo de la "--auth-gen-token" opcio, aŭ la uzo de la uzanto de sia propra ĵeton-bazita aŭtentikigskemo, la vundebleco povus konduki al VPN-aliro uzante ne-funkciantan konton.
De la ne-sekurec-rilataj ŝanĝoj, estis pliiĝo en la eligo de informoj pri la TLS-ĉifroj negocitaj por uzo de la kliento kaj servilo. Inkluzive de la ĝustaj informoj pri la subteno de TLS 1.3 kaj EC-atestiloj estis aldonitaj. Krome, la foresto de CRL CRL-dosiero dum OpenVPN-komenco nun estas traktata kiel malŝalta eraro.
fonto: opennet.ru