OpenVPN 2.5.2 eta 2.4.11 bertsio zuzentzaileak prestatu dira, sare pribatu birtualak sortzeko paketea, bi bezero-makinen arteko konexio enkriptatua antolatzeko edo aldi berean bezero anitzentzako VPN zerbitzari zentralizatua eskaintzeko aukera ematen dutenak. OpenVPN kodea GPLv2 lizentziapean banatzen da, prest egindako pakete bitar Debian, Ubuntu, CentOS, RHEL eta Windows-erako eratzen dira.
Argitalpen berriek ahultasun bat (CVE-2020-15078) konpontzen dute, urruneko erasotzaile bati VPN ezarpenetarako autentifikazioa eta sarbide murrizketak saihesteko aukera eman diezaiokeena. Arazoa autentifikazio geroratua erabiltzeko konfiguratutako zerbitzarietan bakarrik gertatzen da (deferred_auth). Erasotzaile batek, egoera jakin batzuetan, VPN ezarpenak dituen PUSH_REPLY mezu bat itzultzera behartu dezake zerbitzaria AUTH_FAILED mezua bidali aurretik. "--auth-gen-token" aukera erabiltzearekin edo erabiltzaileak tokenetan oinarritutako autentifikazio-eskema propioa erabiltzearekin batera, ahultasunak VPN sarbidea ekar dezake funtzionatzen ez duen kontu bat erabiliz.
Segurtasunarekin zerikusia ez duten aldaketetatik, bezeroak eta zerbitzariak erabiltzeko negoziatutako TLS zifratzeei buruzko informazioaren irteera handitu egin da. TLS 1.3 eta EC ziurtagirien laguntzari buruzko informazio zuzena gehitu da. Gainera, OpenVPN abiaraztean CRL CRL fitxategirik ez egotea itzaltze-errore gisa hartzen da.
Iturria: opennet.ru