Ullmhaíodh eisiúintí ceartaitheach OpenVPN 2.5.2 agus 2.4.11, pacáiste chun líonraí príobháideacha fíorúla a chruthú a ligeann duit nasc criptithe a eagrú idir dhá mheaisín cliant nó freastalaí VPN láraithe a sholáthar le haghaidh oibriú comhuaineach roinnt cliant. Déantar an cód OpenVPN a dháileadh faoin gceadúnas GPLv2, gintear pacáistí dénártha réidh le haghaidh Debian, Ubuntu, CentOS, RHEL agus Windows.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
Foinse: oscailtenet.ru