Ette on valmistatud OpenVPN 2.5.2 ja 2.4.11 parandusväljaanded, pakett virtuaalsete privaatvõrkude loomiseks, mis võimaldab korraldada krüpteeritud ühendust kahe klientmasina vahel või pakkuda tsentraliseeritud VPN-serverit mitmele kliendile korraga. OpenVPN koodi levitatakse GPLv2 litsentsi all, valmis binaarpaketid moodustatakse Debiani, Ubuntu, CentOSi, RHELi ja Windowsi jaoks.
Uued versioonid lahendavad haavatavuse (CVE-2020-15078), mis võib lubada kaugründajal autentimisest ja juurdepääsupiirangutest mööda minna, et VPN-i sätted lekitada. Probleem ilmneb ainult serverites, mis on konfigureeritud kasutama edasilükatud autentimist (deferred_auth). Ründaja võib teatud tingimustel sundida serverit enne AUTH_FAILED sõnumi saatmist tagastama VPN-sätteid sisaldava PUSH_REPLY-sõnumi. Koos valiku "--auth-gen-token" kasutamisega või kasutaja enda loapõhise autentimisskeemi kasutamisega võib haavatavus põhjustada VPN-juurdepääsu mittetöötava konto kaudu.
Turvalisusega mitteseotud muudatustest on suurenenud teabe väljund kliendi ja serveri poolt kasutamiseks kokku lepitud TLS-šifrite kohta. Lisatud on õige info TLS 1.3 ja EC sertifikaatide toe kohta. Lisaks käsitletakse CRL CRL-faili puudumist OpenVPN-i käivitamisel nüüd sulgemisveana.
Allikas: opennet.ru