Պատրաստվել են OpenVPN 2.5.2 և 2.4.11 ուղղիչ թողարկումները, վիրտուալ մասնավոր ցանցեր ստեղծելու փաթեթ, որը թույլ է տալիս կազմակերպել կոդավորված կապ երկու հաճախորդի մեքենաների միջև կամ տրամադրել կենտրոնացված VPN սերվեր մի քանի հաճախորդների միաժամանակյա աշխատանքի համար: OpenVPN կոդը բաշխվում է GPLv2 լիցենզիայի ներքո, պատրաստի երկուական փաթեթներ են ստեղծվում Debian-ի, Ubuntu-ի, CentOS-ի, RHEL-ի և Windows-ի համար:
Նոր թողարկումները շտկում են խոցելիությունը (CVE-2020-15078), որը թույլ է տալիս հեռավոր հարձակվողին շրջանցել նույնականացումը և մուտքի սահմանափակումները՝ VPN-ի կարգավորումները արտահոսելու համար: Խնդիրը հայտնվում է միայն այն սերվերների վրա, որոնք կազմաձևված են deferred_auth օգտագործելու համար: Որոշակի հանգամանքներում հարձակվողը կարող է ստիպել սերվերին վերադարձնել PUSH_REPLY հաղորդագրություն VPN-ի կարգավորումների վերաբերյալ տվյալների հետ՝ նախքան AUTH_FAILED հաղորդագրությունն ուղարկելը: Երբ համակցվում է --auth-gen-token պարամետրի կամ օգտագործողի կողմից սեփական նշանի վրա հիմնված նույնականացման սխեմայի օգտագործման հետ, խոցելիությունը կարող է հանգեցնել նրան, որ ինչ-որ մեկը մուտք գործի VPN՝ օգտագործելով ոչ աշխատանքային հաշիվ:
Ոչ անվտանգության փոփոխությունների թվում կա հաճախորդի և սերվերի կողմից օգտագործման համար համաձայնեցված TLS ծածկագրերի մասին տեղեկատվության ցուցադրման ընդլայնում: Ներառյալ ճիշտ տեղեկատվություն TLS 1.3 և EC վկայագրերի աջակցության մասին: Բացի այդ, OpenVPN-ի գործարկման ժամանակ վկայականի չեղյալ հայտարարման ցուցակով CRL ֆայլի բացակայությունն այժմ դիտարկվում է որպես դադարեցման տանող սխալ:
Source: opennet.ru