Ir sagatavoti OpenVPN 2.5.2 un 2.4.11 koriģējošie laidieni, pakotne virtuālo privāto tīklu izveidei, kas ļauj organizēt šifrētu savienojumu starp divām klientu mašīnām vai nodrošināt centralizētu VPN serveri vairāku klientu vienlaicīgai darbībai. OpenVPN kods tiek izplatīts saskaņā ar GPLv2 licenci, tiek ģenerētas gatavas binārās pakotnes Debian, Ubuntu, CentOS, RHEL un Windows.
Jaunajos laidienos ir novērsta ievainojamība (CVE-2020-15078), kas ļauj attālam uzbrucējam apiet autentifikāciju un piekļuves ierobežojumus, lai nopludinātu VPN iestatījumus. Problēma parādās tikai serveros, kas ir konfigurēti izmantot deferred_auth. Noteiktos apstākļos uzbrucējs var piespiest serveri atgriezt PUSH_REPLY ziņojumu ar datiem par VPN iestatījumiem pirms ziņojuma AUTH_FAILED nosūtīšanas. Kombinējot ar parametra --auth-gen-token izmantošanu vai lietotāja paša uz marķieri balstītas autentifikācijas shēmas izmantošanu, ievainojamība var izraisīt to, ka kāds var piekļūt VPN, izmantojot nestrādājošu kontu.
Starp izmaiņām, kas nav saistītas ar drošību, ir paplašināta informācija par TLS šifriem, par kuriem vienojās klients un serveris. Ietverot pareizu informāciju par atbalstu TLS 1.3 un EK sertifikātiem. Turklāt tas, ka OpenVPN startēšanas laikā nav pieejams CRL fails ar sertifikātu atsaukšanas sarakstu, tagad tiek uzskatīts par kļūdu, kas izraisa darbības pārtraukšanu.
Avots: opennet.ru