Ny famoahana fanitsiana ny OpenVPN 2.5.2 sy 2.4.11 dia efa nomanina, fonosana iray hamoronana tambajotra tsy miankina virtoaly izay ahafahanao mandamina fifandraisana misy miafina eo amin'ny milina mpanjifa roa na manome mpizara VPN afovoany ho an'ny fiasan'ny mpanjifa maromaro. Ny kaody OpenVPN dia zaraina amin'ny alàlan'ny fahazoan-dàlana GPLv2, ny fonosana binary efa vita dia noforonina ho an'ny Debian, Ubuntu, CentOS, RHEL ary Windows.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
Source: opennet.ru