Zuzenketa-bertsioak prestatu dira OpenVPN 2.5.2 eta 2.4.11 bertsioak, sare pribatu birtualak sortzeko pakete bat, bi bezero-makinen arteko konexio enkriptatu bat antolatzeko edo hainbat bezero aldi berean funtzionatzeko VPN zerbitzari zentralizatu bat eskaintzeko aukera ematen duena. Kodea OpenVPN GPLv2 lizentziapean banatuta, prest egindako pakete bitarrak sortzen dira Debian, Ubuntu, CentOS, RHEL eta Windows.
Bertsio berriek ahultasun bat (CVE-2020-15078) konpontzen dute, zeinaren bidez urruneko erasotzaile batek autentifikazioa eta sarbide-murrizketak saihestea ahalbidetzen duen VPN ezarpenak filtratzeko. Arazoak autentifikazio geroratua (deferred_auth) erabiltzeko konfiguratutako zerbitzariei soilik eragiten die. Zenbait kasutan, erasotzaile batek zerbitzaria behartu dezake ezarpenak dituen PUSH_REPLY mezu bat itzultzera. VPN AUTH_FAILED mezua bidali aurretik. "--auth-gen-token" parametroarekin edo erabiltzaile baten token-oinarritutako autentifikazio-eskemarekin konbinatuta, ahultasunak VPN sarbidea ekar dezake funtzionala ez den kontu bat erabiliz.
Segurtasunarekin zerikusirik ez duten aldaketen artean, bezeroak erabiltzeko adostutako TLS zifrei buruzko informazioaren irteera zabaldu eta zerbitzariaHonek TLS 1.3 eta EC ziurtagirien laguntzari buruzko informazio zuzena barne hartzen du. Gainera, baliogabetutako ziurtagirien zerrenda duen CRL fitxategia falta zen abiaraztean. OpenVPN orain amaiera dakarren errore gisa tratatzen da.
Iturria: opennet.ru
