Rilis korektif OpenVPN 2.5.2 dan 2.4.11 telah disiapkan, sebuah paket untuk membuat jaringan pribadi virtual yang memungkinkan Anda mengatur koneksi terenkripsi antara dua mesin klien atau menyediakan server VPN terpusat untuk pengoperasian beberapa klien secara bersamaan. Kode OpenVPN didistribusikan di bawah lisensi GPLv2, paket biner siap pakai dibuat untuk Debian, Ubuntu, CentOS, RHEL dan Windows.
Rilis baru ini memperbaiki kerentanan (CVE-2020-15078) yang memungkinkan penyerang jarak jauh melewati otentikasi dan pembatasan akses untuk membocorkan pengaturan VPN. Masalah hanya muncul pada server yang dikonfigurasi untuk menggunakan deferred_auth. Dalam keadaan tertentu, penyerang dapat memaksa server untuk mengembalikan pesan PUSH_REPLY berisi data tentang pengaturan VPN sebelum mengirim pesan AUTH_FAILED. Jika digabungkan dengan penggunaan parameter --auth-gen-token atau penggunaan skema autentikasi berbasis token oleh pengguna, kerentanan dapat mengakibatkan seseorang mendapatkan akses ke VPN menggunakan akun yang tidak berfungsi.
Di antara perubahan non-keamanan, terdapat perluasan tampilan informasi tentang cipher TLS yang disepakati untuk digunakan oleh klien dan server. Termasuk informasi yang benar tentang dukungan untuk sertifikat TLS 1.3 dan EC. Selain itu, tidak adanya file CRL dengan daftar pencabutan sertifikat selama startup OpenVPN kini dianggap sebagai kesalahan yang menyebabkan penghentian.
Sumber: opennet.ru