Des versions correctives d'OpenVPN 2.5.2 et 2.4.11, un package de création de réseaux privés virtuels permettant d'organiser une connexion cryptée entre deux machines clientes ou de fournir un serveur VPN centralisé pour plusieurs clients en même temps, ont été préparées. Le code OpenVPN est distribué sous la licence GPLv2, des packages binaires prêts à l'emploi sont formés pour Debian, Ubuntu, CentOS, RHEL et Windows.
Les nouvelles versions corrigent une vulnérabilité (CVE-2020-15078) qui pourrait permettre à un attaquant distant de contourner l'authentification et les restrictions d'accès pour divulguer les paramètres VPN. Le problème se produit uniquement sur les serveurs configurés pour utiliser l'authentification différée (deferred_auth). Un attaquant, dans certaines circonstances, peut forcer le serveur à renvoyer un message PUSH_REPLY contenant les paramètres VPN avant d'envoyer le message AUTH_FAILED. En combinaison avec l'utilisation de l'option "--auth-gen-token", ou l'utilisation par l'utilisateur de son propre schéma d'authentification basé sur des jetons, la vulnérabilité pourrait conduire à un accès VPN à l'aide d'un compte qui ne fonctionne pas.
Parmi les changements non liés à la sécurité, il y a eu une augmentation de la sortie d'informations sur les chiffrements TLS négociés pour être utilisés par le client et le serveur. L'inclusion des informations correctes sur la prise en charge des certificats TLS 1.3 et EC a été ajoutée. De plus, l'absence d'un fichier CRL CRL lors du démarrage d'OpenVPN est désormais traitée comme une erreur d'arrêt.
Source: opennet.ru