Yo prepare vèsyon korektif yo OpenVPN 2.5.2 ak 2.4.11, yon pake pou kreye rezo prive vityèl, ki pèmèt ou òganize yon koneksyon chiffres ant de machin kliyan oswa bay yon sèvè VPN santralize pou operasyon similtane plizyè kliyan. Kòd OpenVPN distribye anba lisans GPLv2 a, pakè binè pare yo pwodui pou Debian, Ubuntu, CentOS, RHEL ak Windows.
Nouvo vèsyon yo korije yon vilnerabilite (CVE-2020-15078) ki pèmèt yon atakè a distans kontoune otantifikasyon ak restriksyon aksè pou revele paramèt VPN yo. Pwoblèm nan afekte sèlman sèvè ki configurÊ pou itilize otantifikasyon difere (deferred_auth). Nan sèten sikonstans, yon atakè ka fòse sèvè a retounen yon mesaj PUSH_REPLY ki gen paramèt yo. VPN anvan yo voye mesaj AUTH_FAILED la. Lè yo konbine l avèk paramèt "--auth-gen-token" lan oswa pwòp konplo otantifikasyon yon itilizatè ki baze sou jeton, vilnerabilite a ka mennen nan aksè VPN lè l sèvi avèk yon kont ki pa fonksyonèl.
Pami chanjman ki pa gen rapò ak sekirite yo, yo elaji kantite enfòmasyon sou chif TLS yo te dakò pou kliyan an itilize a. sèvèSa gen ladan enfòmasyon ki kòrèk sou TLS 1.3 ak sipò sètifika EC. Anplis de sa, fichye CRL ki gen lis sètifika revoke yo te manke pandan demaraj la. OpenVPN kounye a li trete kòm yon erè ki lakòz revokasyon.
Sous: opennet.ru
