ઓપનવીપીએન 2.5.2 અને 2.4.11 નબળાઈ ફિક્સ સાથે અપડેટ

OpenVPN 2.5.2 અને 2.4.11 ના સુધારાત્મક પ્રકાશનો તૈયાર કરવામાં આવ્યા છે, વર્ચ્યુઅલ પ્રાઇવેટ નેટવર્ક્સ બનાવવા માટેનું એક પેકેજ કે જે તમને બે ક્લાયંટ મશીનો વચ્ચે એન્ક્રિપ્ટેડ કનેક્શન ગોઠવવા અથવા ઘણા ક્લાયંટના એકસાથે ઓપરેશન માટે કેન્દ્રિય VPN સર્વર પ્રદાન કરવાની મંજૂરી આપે છે. OpenVPN કોડ GPLv2 લાયસન્સ હેઠળ વિતરિત કરવામાં આવે છે, ડેબિયન, ઉબુન્ટુ, CentOS, RHEL અને Windows માટે તૈયાર બાઈનરી પેકેજો જનરેટ થાય છે.

નવી રીલીઝ નબળાઈ (CVE-2020-15078) ને ઠીક કરે છે જે રીમોટ હુમલાખોરને VPN સેટિંગ્સ લીક ​​કરવા માટે પ્રમાણીકરણ અને ઍક્સેસ પ્રતિબંધોને બાયપાસ કરવાની મંજૂરી આપે છે. સમસ્યા ફક્ત એવા સર્વર્સ પર જ દેખાય છે જે deferred_auth નો ઉપયોગ કરવા માટે ગોઠવેલ છે. ચોક્કસ સંજોગોમાં, હુમલાખોર AUTH_FAILED સંદેશ મોકલતા પહેલા VPN સેટિંગ્સ વિશેના ડેટા સાથેનો PUSH_REPLY સંદેશ પરત કરવા માટે સર્વરને દબાણ કરી શકે છે. જ્યારે --auth-gen-ટોકન પેરામીટરના ઉપયોગ સાથે અથવા વપરાશકર્તા દ્વારા તેમની પોતાની ટોકન-આધારિત પ્રમાણીકરણ યોજનાના ઉપયોગ સાથે જોડવામાં આવે ત્યારે, નબળાઈને પરિણામે કોઈ વ્યક્તિ બિન-કાર્યકારી ખાતાનો ઉપયોગ કરીને VPN ની ઍક્સેસ મેળવી શકે છે.

બિન-સુરક્ષા ફેરફારોમાં, ક્લાયંટ અને સર્વર દ્વારા ઉપયોગ માટે સંમત થયેલા TLS સાઇફર વિશેની માહિતીના પ્રદર્શનનું વિસ્તરણ છે. TLS 1.3 અને EC પ્રમાણપત્રો માટેના સમર્થન વિશે સાચી માહિતી સહિત. વધુમાં, OpenVPN સ્ટાર્ટઅપ દરમિયાન પ્રમાણપત્ર રદ કરવાની સૂચિ સાથેની CRL ફાઇલની ગેરહાજરીને હવે સમાપ્તિ તરફ દોરી જતી ભૂલ તરીકે ગણવામાં આવે છે.

સોર્સ: opennet.ru