Korrektiv Verëffentlechunge vun OpenVPN 2.5.2 an 2.4.11, e Package fir virtuell privat Netzwierker ze kreéieren déi Iech erlaben eng verschlësselte Verbindung tëscht zwee Clientmaschinnen ze organiséieren oder e zentraliséierte VPN Server fir verschidde Clienten zur selwechter Zäit ze bidden, goufen virbereet. Den OpenVPN Code gëtt ënner der GPLv2 Lizenz verdeelt, fäerdeg binär Packagen gi fir Debian, Ubuntu, CentOS, RHEL a Windows geformt.
Nei Verëffentlechungen léisen eng Schwachstelle (CVE-2020-15078) déi e Remote-Ugräifer et erlaabt d'Authentifikatioun an d'Zougangsbeschränkungen z'iwwergoen fir VPN Astellungen ze lecken. D'Thema geschitt nëmmen op Serveren, déi konfiguréiert sinn fir ofgeschalt Authentifikatioun (deferred_auth) ze benotzen. En Ugräifer, ënner bestëmmten Ëmstänn, kann de Server zwéngen, e PUSH_REPLY Message zréckzebréngen mat VPN Astellungen, ier Dir den AUTH_FAILED Message schéckt. A Kombinatioun mat der Benotzung vun der "--auth-gen-token" Optioun, oder dem Benotzer seng Benotzung vun hirem eegenen Token-baséierten Authentifikatiounsschema, kann d'Schwachheet zu engem VPN Zougang mat engem Net-fonctionnéierende Kont féieren.
Vun den net-Sécherheets-Zesummenhang Ännerungen, gouf et eng Erhéijung vun der Ausgab vun Informatiounen iwwert d'TLS Chifferen ausgehandelt fir benotzen vum Client an Server. Mat abegraff déi richteg Informatioun iwwer d'Ënnerstëtzung vun TLS 1.3 an EC Certificaten gouf bäigefüügt. Zousätzlech gëtt d'Feele vun enger CRL CRL-Datei wärend dem OpenVPN Startup elo als e Shutdown-Feeler behandelt.
Source: opennet.ru