Sono state preparate le versioni correttive di OpenVPN 2.5.2 e 2.4.11, un pacchetto per la creazione di reti private virtuali che consente di organizzare una connessione crittografata tra due macchine client o fornire un server VPN centralizzato per il funzionamento simultaneo di più client. Il codice OpenVPN è distribuito sotto la licenza GPLv2, vengono generati pacchetti binari già pronti per Debian, Ubuntu, CentOS, RHEL e Windows.
Le nuove versioni risolvono una vulnerabilità (CVE-2020-15078) che consente a un utente malintenzionato remoto di aggirare l'autenticazione e le restrizioni di accesso per divulgare le impostazioni VPN. Il problema si verifica solo sui server configurati per utilizzare deferred_auth. In determinate circostanze, un utente malintenzionato può forzare il server a restituire un messaggio PUSH_REPLY con i dati sulle impostazioni VPN prima di inviare il messaggio AUTH_FAILED. Se combinata con l'uso del parametro --auth-gen-token o con l'uso da parte dell'utente del proprio schema di autenticazione basato su token, la vulnerabilità potrebbe far sì che qualcuno ottenga l'accesso alla VPN utilizzando un account non funzionante.
Tra le modifiche non legate alla sicurezza c'è l'ampliamento della visualizzazione delle informazioni sulle cifre TLS concordate per l'utilizzo da parte del client e del server. Incluse informazioni corrette sul supporto per TLS 1.3 e certificati EC. Inoltre, l'assenza di un file CRL con un elenco di revoche di certificati durante l'avvio di OpenVPN viene ora trattata come un errore che porta alla terminazione.
Fonte: opennet.ru