취약점이 수정된 OpenVPN 2.5.2 및 2.4.11 업데이트

OpenVPN 2.5.2 및 2.4.11의 수정 릴리스가 준비되었습니다. 이 패키지는 두 클라이언트 시스템 간의 암호화된 연결을 구성하거나 여러 클라이언트의 동시 작동을 위한 중앙 집중식 VPN 서버를 제공할 수 있는 가상 사설망 생성용 패키지입니다. OpenVPN 코드는 GPLv2 라이센스에 따라 배포되며 Debian, Ubuntu, CentOS, RHEL 및 Windows용으로 미리 만들어진 바이너리 패키지가 생성됩니다.

새 릴리스에서는 원격 공격자가 인증 및 액세스 제한을 우회하여 VPN 설정을 유출할 수 있는 취약점(CVE-2020-15078)이 수정되었습니다. 문제는 deferred_auth를 사용하도록 구성된 서버에만 나타납니다. 특정 상황에서 공격자는 AUTH_FAILED 메시지를 보내기 전에 서버가 VPN 설정에 대한 데이터와 함께 PUSH_REPLY 메시지를 반환하도록 강제할 수 있습니다. --auth-gen-token 매개변수를 사용하거나 사용자가 자체 토큰 기반 인증 체계를 사용하는 경우 이 취약점으로 인해 누군가가 작동하지 않는 계정을 사용하여 VPN에 액세스할 수 있습니다.

비보안 변경 사항 중에는 클라이언트와 서버가 사용하기로 동의한 TLS 암호에 대한 정보 표시가 확장되었습니다. TLS 1.3 및 EC 인증서 지원에 대한 올바른 정보를 포함합니다. 또한 OpenVPN 시작 중 인증서 취소 목록이 포함된 CRL 파일이 없으면 이제 종료로 이어지는 오류로 처리됩니다.

출처 : opennet.ru