Ko nga putanga whakatika o OpenVPN 2.5.2 me 2.4.11 kua rite, he kete mo te hanga whatunga tūmataiti mariko e taea ai e koe te whakarite hononga whakamunatia i waenga i nga miihini kiritaki e rua, te whakarato ranei i tetahi tūmau VPN pokapū mo te mahi kotahi o te maha o nga kaihoko. Ka tohatohahia te waehere OpenVPN i raro i te raihana GPLv2, ka hangaia nga kohinga takirua kua rite mo Debian, Ubuntu, CentOS, RHEL me Windows.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
Source: opennet.ru