עדכון OpenVPN 2.5.2 ו-2.4.11 עם תיקון פגיעות

הוכנו מהדורות מתקנות של OpenVPN 2.5.2 ו-2.4.11, חבילה ליצירת רשתות וירטואליות פרטיות המאפשרת לך לארגן חיבור מוצפן בין שני מכונות לקוח או לספק שרת VPN מרכזי לפעולה בו-זמנית של מספר לקוחות. קוד OpenVPN מופץ תחת רישיון GPLv2, חבילות בינאריות מוכנות נוצרות עבור Debian, Ubuntu, CentOS, RHEL ו-Windows.

המהדורות החדשות מתקנות פגיעות (CVE-2020-15078) המאפשרת לתוקף מרוחק לעקוף הגבלות אימות וגישה כדי להדליף הגדרות VPN. הבעיה מופיעה רק בשרתים שמוגדרים להשתמש ב-deferred_auth. בנסיבות מסוימות, תוקף יכול לאלץ את השרת להחזיר הודעת PUSH_REPLY עם נתונים על הגדרות ה-VPN לפני שליחת הודעת AUTH_FAILED. בשילוב עם השימוש בפרמטר --auth-gen-token או השימוש של המשתמש בסכימת אימות מבוססת אסימון משלו, הפגיעות עלולה לגרום למישהו לקבל גישה ל-VPN באמצעות חשבון שאינו עובד.

בין השינויים שאינם ביטחוניים, ישנה הרחבה של הצגת המידע על צפני ה-TLS המוסכמים לשימוש הלקוח והשרת. כולל מידע נכון לגבי תמיכה בתעודות TLS 1.3 ו-EC. בנוסף, היעדר קובץ CRL עם רשימת ביטולי אישורים במהלך ההפעלה של OpenVPN מטופל כעת כשגיאה המובילה לסיום.

מקור: OpenNet.ru