نسخه های اصلاحی OpenVPN 2.5.2 و 2.4.11 آماده شده است، بسته ای برای ایجاد شبکه های خصوصی مجازی که به شما امکان می دهد یک اتصال رمزگذاری شده بین دو ماشین مشتری سازماندهی کنید یا یک سرور VPN متمرکز برای عملکرد همزمان چندین مشتری ارائه دهید. کد OpenVPN تحت مجوز GPLv2 توزیع می شود، بسته های باینری آماده برای Debian، Ubuntu، CentOS، RHEL و Windows تولید می شوند.
نسخههای جدید یک آسیبپذیری (CVE-2020-15078) را برطرف میکنند که به مهاجم از راه دور اجازه میدهد تا احراز هویت و محدودیتهای دسترسی را برای افشای تنظیمات VPN دور بزند. مشکل فقط در سرورهایی ظاهر می شود که برای استفاده از deferred_auth پیکربندی شده اند. تحت شرایط خاص، یک مهاجم میتواند سرور را مجبور کند که یک پیام PUSH_REPLY با دادههای مربوط به تنظیمات VPN را قبل از ارسال پیام AUTH_FAILED برگرداند. وقتی این آسیبپذیری با استفاده از پارامتر --auth-gen-token یا استفاده کاربر از طرح احراز هویت مبتنی بر توکن ترکیب شود، میتواند منجر به دسترسی شخصی به VPN با استفاده از یک حساب غیرفعال شود.
در میان تغییرات غیر امنیتی، گسترش نمایش اطلاعات در مورد رمزهای TLS وجود دارد که برای استفاده توسط مشتری و سرور توافق شده است. شامل اطلاعات صحیح در مورد پشتیبانی از گواهینامه های TLS 1.3 و EC. علاوه بر این، عدم وجود یک فایل CRL با لیست ابطال گواهی در حین راه اندازی OpenVPN اکنون به عنوان خطای منجر به خاتمه تلقی می شود.
منبع: opennet.ru