Se han preparado versiones correctivas de OpenVPN 2.5.2 y 2.4.11, un paquete para crear redes privadas virtuales que le permiten organizar una conexión encriptada entre dos máquinas cliente o proporcionar un servidor VPN centralizado para múltiples clientes al mismo tiempo. El código OpenVPN se distribuye bajo la licencia GPLv2, se forman paquetes binarios listos para usar para Debian, Ubuntu, CentOS, RHEL y Windows.
Las nuevas versiones resuelven una vulnerabilidad (CVE-2020-15078) que podría permitir a un atacante remoto eludir la autenticación y las restricciones de acceso para filtrar la configuración de VPN. El problema solo ocurre en servidores configurados para usar autenticación diferida (deferred_auth). Un atacante, bajo ciertas circunstancias, puede obligar al servidor a devolver un mensaje PUSH_REPLY con datos sobre la configuración de VPN antes de enviar el mensaje AUTH_FAILED. En combinación con el uso de la opción "--auth-gen-token", o el uso por parte del usuario de su propio esquema de autenticación basado en token, la vulnerabilidad podría conducir al acceso a VPN utilizando una cuenta que no funciona.
De los cambios no relacionados con la seguridad, ha habido un aumento en la salida de información sobre los cifrados TLS negociados para uso del cliente y el servidor. Se ha agregado la información correcta sobre el soporte de TLS 1.3 y certificados EC. Además, la ausencia de un archivo CRL CRL durante el inicio de OpenVPN ahora se trata como un error de apagado.
Fuente: opennet.ru