Chaidh fiosan ceartachaidh de OpenVPN 2.5.2 agus 2.4.11 ullachadh, pasgan airson lìonraidhean prìobhaideach brìgheil a chruthachadh a leigeas leat ceangal crioptaichte a chuir air dòigh eadar dà inneal teachdaiche no frithealaiche VPN meadhanaichte a thoirt seachad airson obrachadh aig an aon àm grunn teachdaichean. Tha an còd OpenVPN air a chuairteachadh fo chead GPLv2, thèid pasganan dà-chànanach deiseil a chruthachadh airson Debian, Ubuntu, CentOS, RHEL agus Windows.
Bidh na fiosan ùra a ’càradh so-leòntachd (CVE-2020-15078) a leigeas le neach-ionnsaigh iomallach faighinn seachad air dearbhadh agus cuingealachaidhean ruigsinneachd gus roghainnean VPN a leigeil ma sgaoil. Cha nochd an duilgheadas ach air frithealaichean a tha air an rèiteachadh gus deferred_auth a chleachdadh. Ann an suidheachaidhean sònraichte, faodaidh neach-ionnsaigh toirt air an fhrithealaiche teachdaireachd PUSH_REPLY a thilleadh le dàta mu na roghainnean VPN mus cuir e an teachdaireachd AUTH_FAILED. Nuair a thèid iad còmhla ri cleachdadh paramadair --auth-gen-token no cleachdadh an neach-cleachdaidh den sgeama dearbhaidh stèidhichte air token aca fhèin, dh’ fhaodadh an so-leòntachd leantainn gu cuideigin a ’faighinn cothrom air an VPN a’ cleachdadh cunntas nach eil ag obair.
Am measg nan atharrachaidhean neo-thèarainteachd, tha leudachadh air taisbeanadh fiosrachaidh mu na ciphers TLS a chaidh aontachadh airson a chleachdadh leis an neach-dèiligidh agus an frithealaiche. A’ toirt a-steach fiosrachadh ceart mu thaic airson teisteanasan TLS 1.3 agus EC. A bharrachd air an sin, tha dìth faidhle CRL le liosta cùl-ghairm teisteanais aig àm tòiseachaidh OpenVPN a-nis air a làimhseachadh mar mhearachd a bheir gu crìch.
Source: fosgailtenet.ru