Rilis korektif saka OpenVPN 2.5.2 lan 2.4.11 wis disiapake, paket kanggo nggawe jaringan pribadi virtual sing ngidini sampeyan ngatur sambungan sing dienkripsi ing antarane rong mesin klien utawa nyedhiyakake server VPN terpusat kanggo operasi simultan saka sawetara klien. Kode OpenVPN disebarake miturut lisensi GPLv2, paket binar siap digawe kanggo Debian, Ubuntu, CentOS, RHEL lan Windows.
Rilis anyar ndandani kerentanan (CVE-2020-15078) sing ngidini panyerang remot ngliwati otentikasi lan akses watesan kanggo bocor setelan VPN. Masalah kasebut mung katon ing server sing dikonfigurasi nggunakake deferred_auth. Ing kahanan tartamtu, panyerang bisa meksa server mbalekake pesen PUSH_REPLY kanthi data babagan setelan VPN sadurunge ngirim pesen AUTH_FAILED. Yen digabungake karo nggunakake parameter --auth-gen-token utawa pangguna nggunakake skema otentikasi adhedhasar token dhewe, kerentanan bisa nyebabake wong entuk akses menyang VPN nggunakake akun sing ora bisa digunakake.
Ing antarane owah-owahan non-keamanan, ana ekspansi tampilan informasi babagan cipher TLS sing disepakati kanggo digunakake dening klien lan server. Kalebu informasi sing bener babagan dhukungan kanggo sertifikat TLS 1.3 lan EC. Kajaba iku, ora ana file CRL kanthi dhaptar pencabutan sertifikat sajrone wiwitan OpenVPN saiki dianggep minangka kesalahan sing nyebabake mandap.
Source: opennet.ru