OpenVPN 2.5.2 および 2.4.11 の修正リリースが準備されました。これは、2 台のクライアント マシン間の暗号化された接続を組織したり、複数のクライアントを同時に操作するための集中型 VPN サーバーを提供したりできる、仮想プライベート ネットワークを作成するためのパッケージです。 OpenVPN コードは GPLvXNUMX ライセンスに基づいて配布され、既製のバイナリ パッケージが Debian、Ubuntu、CentOS、RHEL、Windows 用に生成されます。
新しいリリースでは、リモート攻撃者が認証とアクセス制限を回避して VPN 設定を漏洩することを可能にする脆弱性 (CVE-2020-15078) が修正されています。 この問題は、deferred_auth を使用するように構成されているサーバーでのみ発生します。 特定の状況下では、攻撃者は、AUTH_FAILED メッセージを送信する前に、サーバーに VPN 設定に関するデータを含む PUSH_REPLY メッセージを強制的に返すことができます。 --auth-gen-token パラメーターの使用またはユーザーによる独自のトークンベースの認証スキームの使用と組み合わせると、この脆弱性により、誰かが機能していないアカウントを使用して VPN にアクセスできる可能性があります。
セキュリティ以外の変更の中には、クライアントとサーバーで使用するために合意された TLS 暗号に関する情報の表示の拡張があります。 TLS 1.3 および EC 証明書のサポートに関する正しい情報が含まれています。 さらに、OpenVPN の起動時に証明書失効リストを含む CRL ファイルが存在しない場合、終了につながるエラーとして扱われるようになりました。
出所: オープンネット.ru