OpenVPN 2.5.2 ja 2.4.11 korjaavat julkaisut on valmisteltu, paketti virtuaalisten yksityisverkkojen luomiseen, jonka avulla voit järjestää salatun yhteyden kahden asiakaskoneen välille tai tarjota keskitetyn VPN-palvelimen useiden asiakkaiden samanaikaista toimintaa varten. OpenVPN-koodia jaetaan GPLv2-lisenssillä, valmiita binaaripaketteja luodaan Debianille, Ubuntulle, CentOS:lle, RHEL:lle ja Windowsille.
Uudet julkaisut korjaavat haavoittuvuuden (CVE-2020-15078), jonka avulla etähyökkääjä voi ohittaa todennuksen ja pääsyrajoitukset vuotaakseen VPN-asetuksia. Ongelma ilmenee vain palvelimissa, jotka on määritetty käyttämään deferred_auth. Tietyissä olosuhteissa hyökkääjä voi pakottaa palvelimen palauttamaan PUSH_REPLY-sanoman, joka sisältää tiedot VPN-asetuksista, ennen kuin lähettää AUTH_FAILED-viestin. Yhdistettynä parametrin --auth-gen-token käyttöön tai käyttäjän oman merkkipohjaisen todennusmallin käyttöön haavoittuvuus voi johtaa siihen, että joku pääsee VPN:ään käyttämällä ei-toimivaa tiliä.
Turvallisuuteen liittymättömien muutosten joukossa on laajennettu tietojen näyttöä asiakkaan ja palvelimen käyttöön sovituista TLS-salauksista. Sisältää oikeat tiedot TLS 1.3- ja EC-sertifikaattien tuesta. Lisäksi varmenteen peruutusluettelon sisältävän CRL-tiedoston puuttuminen OpenVPN-käynnistyksen aikana käsitellään nyt lopettamiseen johtavana virheenä.
Lähde: opennet.ru