Подготвени се корективни изданија на OpenVPN 2.5.2 и 2.4.11, пакет за создавање виртуелни приватни мрежи што ви овозможува да организирате шифрирана врска помеѓу две клиентски машини или да обезбедите централизиран VPN сервер за истовремена работа на неколку клиенти. Кодот OpenVPN се дистрибуира под лиценцата GPLv2, се генерираат готови бинарни пакети за Debian, Ubuntu, CentOS, RHEL и Windows.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
Извор: opennet.ru