OpenVPN 2.5.2 және 2.4.11 түзету шығарылымдары дайындалды, екі клиенттік машина арасында шифрланған қосылымды ұйымдастыруға немесе бірнеше клиенттің бір уақытта жұмыс істеуі үшін орталықтандырылған VPN серверін қамтамасыз етуге мүмкіндік беретін виртуалды жеке желілерді құру пакеті. OpenVPN коды GPLv2 лицензиясы бойынша таратылады, Debian, Ubuntu, CentOS, RHEL және Windows үшін дайын екілік пакеттер жасалады.
Жаңа шығарылымдар қашықтағы шабуылдаушыға аутентификацияны айналып өтуге және VPN параметрлерін жасыру үшін кіру шектеулеріне мүмкіндік беретін осалдықты түзетеді (CVE-2020-15078). Мәселе deferred_auth пайдалану үшін конфигурацияланған серверлерде ғана пайда болады. Белгілі бір жағдайларда шабуылдаушы AUTH_FAILED хабарын жібермес бұрын серверді VPN параметрлері туралы деректері бар PUSH_REPLY хабарын қайтаруға мәжбүрлей алады. --auth-gen-token параметрін пайдаланумен немесе пайдаланушының таңбалауышқа негізделген аутентификация схемасын пайдалануымен үйлескенде, осалдық біреудің жұмыс істемейтін тіркелгіні пайдаланып VPN желісіне қол жеткізуіне әкелуі мүмкін.
Қауіпсіздікке жатпайтын өзгерістердің ішінде клиент пен сервер пайдалану үшін келісілген TLS шифрлары туралы ақпаратты көрсетудің кеңеюі бар. Оның ішінде TLS 1.3 және EC сертификаттарын қолдау туралы дұрыс ақпарат. Бұған қоса, OpenVPN іске қосу кезінде сертификатты қайтарып алу тізімі бар CRL файлының болмауы енді тоқтатуға әкелетін қате ретінде қарастырылады.
Ақпарат көзі: opennet.ru