Elkészültek az OpenVPN 2.5.2 és 2.4.11 javító kiadásai, a virtuális magánhálózatok létrehozására szolgáló csomag, amely lehetővé teszi két kliens gép közötti titkosított kapcsolat megszervezését vagy központi VPN szerver biztosítását több kliens egyidejű működéséhez. Az OpenVPN kódot GPLv2 licenc alatt terjesztik, kész bináris csomagokat generálnak Debian, Ubuntu, CentOS, RHEL és Windows számára.
Az új kiadások egy biztonsági rést (CVE-2020-15078) javítanak, amely lehetővé teszi a távoli támadók számára, hogy megkerüljék a hitelesítést és a hozzáférési korlátozásokat a VPN-beállítások kiszivárogtatása érdekében. A probléma csak azokon a kiszolgálókon jelenik meg, amelyek a deferred_auth használatára vannak beállítva. Bizonyos körülmények között a támadó arra kényszerítheti a szervert, hogy az AUTH_FAILED üzenet elküldése előtt egy PUSH_REPLY üzenetet adjon vissza a VPN-beállításokkal kapcsolatos adatokkal. Az --auth-gen-token paraméter használatával vagy a felhasználó saját jogkivonat alapú hitelesítési sémájának használatával kombinálva a biztonsági rés azt eredményezheti, hogy valaki nem működő fiókkal fér hozzá a VPN-hez.
A nem biztonsági változtatások között kibővült a kliens és a szerver általi használatra elfogadott TLS-rejtjelekre vonatkozó információk megjelenítése. Tartalmazza a helyes információkat a TLS 1.3 és az EC tanúsítványok támogatásáról. Ezenkívül a tanúsítvány-visszavonási listát tartalmazó CRL-fájl hiánya az OpenVPN indítása során mostantól leálláshoz vezető hibaként kezelendő.
Forrás: opennet.ru