Leiðréttingarútgáfur af OpenVPN 2.5.2 og 2.4.11 hafa verið útbúnar, pakki til að búa til sýndar einkanet sem gerir þér kleift að skipuleggja dulkóðaða tengingu á milli tveggja biðlaravéla eða útvega miðlægan VPN netþjón fyrir samtímis rekstur nokkurra viðskiptavina. OpenVPN kóðanum er dreift undir GPLv2 leyfinu, tilbúnir tvöfaldur pakkar eru búnir til fyrir Debian, Ubuntu, CentOS, RHEL og Windows.
Nýju útgáfurnar laga varnarleysi (CVE-2020-15078) sem gerir ytri árásarmanni kleift að komast framhjá auðkenningu og aðgangstakmörkunum til að leka VPN stillingum. Vandamálið birtist aðeins á netþjónum sem eru stilltir til að nota deferred_auth. Undir vissum kringumstæðum getur árásarmaður þvingað þjóninn til að skila PUSH_REPLY skilaboðum með gögnum um VPN stillingarnar áður en hann sendir AUTH_FAILED skilaboðin. Þegar það er sameinað notkun --auth-gen-token færibreytunnar eða notkun notandans á eigin auðkenningarkerfi sem byggir á auðkenni, gæti varnarleysið leitt til þess að einhver fengi aðgang að VPN með því að nota reikning sem ekki virkar.
Meðal breytinga sem ekki tengjast öryggi er stækkun á birtingu upplýsinga um TLS dulmál sem samið var um til notkunar fyrir viðskiptavininn og netþjóninn. Þar á meðal réttar upplýsingar um stuðning við TLS 1.3 og EC vottorð. Þar að auki er skortur á CRL skrá með afturköllunarlista skírteina við ræsingu OpenVPN nú meðhöndluð sem villa sem leiðir til uppsagnar.
Heimild: opennet.ru