अद्यतनित करा OpenVPN २.५.६ आणि २.४.१२ त्रुटी निराकरणासह

सुधारित प्रसिद्धीपत्रके तयार करण्यात आली आहेत. OpenVPN २.५.२ आणि २.४.११, व्हर्च्युअल प्रायव्हेट नेटवर्क तयार करण्यासाठीचे एक पॅकेज, जे तुम्हाला दोन क्लायंट मशीनमध्ये एनक्रिप्टेड कनेक्शन आयोजित करण्याची किंवा अनेक क्लायंटच्या एकाच वेळी कार्यासाठी केंद्रीकृत व्हीपीएन सर्व्हर प्रदान करण्याची परवानगी देते. कोड OpenVPN GPLv2 परवान्याअंतर्गत वितरित केलेले, तयार बायनरी पॅकेजेस यासाठी निर्माण केले जातात Debian, Ubuntu, CentOS, आरएचईएल आणि Windows.

नवीन रिलीझमध्ये एक भेद्यता (CVE-2020-15078) दुरुस्त केली आहे जी रिमोट आक्रमणकर्त्याला प्रमाणीकरण बायपास करण्याची आणि VPN सेटिंग्ज लीक करण्यासाठी निर्बंधांमध्ये प्रवेश करण्याची परवानगी देते. ही समस्या फक्त स्थगित प्रमाणीकरण (deferred_auth) वापरण्यासाठी कॉन्फिगर केलेल्या सर्व्हरवर परिणाम करते. काही विशिष्ट परिस्थितीत, आक्रमणकर्ता सर्व्हरला सेटिंग्ज असलेला PUSH_REPLY संदेश परत करण्यास भाग पाडू शकतो. व्हीपीएन AUTH_FAILED संदेश पाठवण्यापूर्वी. "--auth-gen-token" पॅरामीटर किंवा वापरकर्त्याच्या स्वतःच्या टोकन-आधारित प्रमाणीकरण योजनेसह एकत्रित केल्यावर, भेद्यतेमुळे नॉन-फंक्शनल अकाउंट वापरून VPN प्रवेश होऊ शकतो.

गैर-सुरक्षा बदलांमध्ये, क्लायंटद्वारे वापरण्यासाठी मान्य केलेल्या TLS सायफर्सबद्दल माहितीचे आउटपुट वाढवले ​​जाते आणि सर्व्हरयामध्ये TLS 1.3 आणि EC प्रमाणपत्र समर्थनाबद्दल अचूक माहिती समाविष्ट आहे. याव्यतिरिक्त, स्टार्टअप दरम्यान रद्द केलेल्या प्रमाणपत्रांची यादी असलेली CRL फाईल उपलब्ध नव्हती. OpenVPN आता ही एक त्रुटी मानली जाईल ज्यामुळे समाप्ती होईल.

स्त्रोत: opennet.ru