OpenVPN 2.5.2 ಮತ್ತು 2.4.11 ನ ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳನ್ನು ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ, ಎರಡು ಕ್ಲೈಂಟ್ ಯಂತ್ರಗಳ ನಡುವೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂಪರ್ಕವನ್ನು ಸಂಘಟಿಸಲು ಅಥವಾ ಹಲವಾರು ಕ್ಲೈಂಟ್ಗಳ ಏಕಕಾಲಿಕ ಕಾರ್ಯಾಚರಣೆಗಾಗಿ ಕೇಂದ್ರೀಕೃತ VPN ಸರ್ವರ್ ಅನ್ನು ಒದಗಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ವರ್ಚುವಲ್ ಖಾಸಗಿ ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ರಚಿಸುವ ಪ್ಯಾಕೇಜ್. OpenVPN ಕೋಡ್ ಅನ್ನು GPLv2 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ, ಡೆಬಿಯನ್, ಉಬುಂಟು, CentOS, RHEL ಮತ್ತು ವಿಂಡೋಸ್ಗಾಗಿ ಸಿದ್ಧ-ಸಿದ್ಧ ಬೈನರಿ ಪ್ಯಾಕೇಜುಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
ಮೂಲ: opennet.ru