Korrigearjende releases fan OpenVPN 2.5.2 en 2.4.11 binne taret, in pakket foar it meitsjen fan firtuele privee netwurken wêrmei jo in fersifere ferbining kinne organisearje tusken twa kliïntmasines of in sintralisearre VPN-tsjinner foar de simultane operaasje fan ferskate kliïnten. De OpenVPN-koade wurdt ferspraat ûnder de GPLv2-lisinsje, klearmakke binêre pakketten wurde generearre foar Debian, Ubuntu, CentOS, RHEL en Windows.
De nije releases reparearje in kwetsberens (CVE-2020-15078) wêrtroch in oanfaller op ôfstân de autentikaasje en tagongsbeperkingen kin omgean om VPN-ynstellingen te lekken. It probleem ferskynt allinich op servers dy't konfigureare binne om deferred_auth te brûken. Under bepaalde omstannichheden kin in oanfaller de tsjinner twinge om in PUSH_REPLY-berjocht werom te jaan mei gegevens oer de VPN-ynstellingen foardat it AUTH_FAILED-berjocht ferstjoert. As kombinearre mei it brûken fan de parameter --auth-gen-token of it gebrûk fan 'e brûker fan har eigen token-basearre autentikaasjeskema, kin de kwetsberens resultearje yn ien dy't tagong krijt ta de VPN mei in net wurkjend akkount.
Under de net-feiligenswizigingen is d'r in útwreiding fan 'e werjefte fan ynformaasje oer de TLS-sifers dy't oerienkommen binne foar gebrûk troch de kliïnt en tsjinner. Ynklusyf korrekte ynformaasje oer stipe foar TLS 1.3 en EC-sertifikaten. Dêrnjonken wurdt it ûntbrekken fan in CRL-bestân mei in sertifikaat weromlûkingslist by it opstarten fan OpenVPN no behannele as in flater dy't liedt ta beëiniging.
Boarne: opennet.ru