OpenVPN 2.5.2 आणि 2.4.11 असुरक्षा निराकरणासह अपडेट

OpenVPN 2.5.2 आणि 2.4.11 चे सुधारात्मक प्रकाशन तयार केले गेले आहेत, व्हर्च्युअल प्रायव्हेट नेटवर्क्स तयार करण्यासाठी पॅकेज जे तुम्हाला दोन क्लायंट मशीन्स दरम्यान एनक्रिप्टेड कनेक्शन आयोजित करण्यास किंवा अनेक क्लायंटच्या एकाचवेळी ऑपरेशनसाठी केंद्रीकृत VPN सर्व्हर प्रदान करण्यास अनुमती देते. OpenVPN कोड GPLv2 परवान्याअंतर्गत वितरीत केला जातो, डेबियन, उबंटू, CentOS, RHEL आणि Windows साठी तयार बायनरी पॅकेजेस तयार केले जातात.

नवीन रिलीझ एक असुरक्षा (CVE-2020-15078) निश्चित करतात जे रिमोट आक्रमणकर्त्याला प्रमाणीकरण बायपास करण्यास आणि VPN सेटिंग्ज लीक करण्यासाठी प्रवेश प्रतिबंधांना अनुमती देतात. deferred_auth वापरण्यासाठी कॉन्फिगर केलेल्या सर्व्हरवरच समस्या दिसून येते. विशिष्ट परिस्थितीत, आक्रमणकर्ता AUTH_FAILED संदेश पाठवण्यापूर्वी VPN सेटिंग्जबद्दल डेटासह PUSH_REPLY संदेश परत करण्यास सर्व्हरला भाग पाडू शकतो. --auth-gen-टोकन पॅरामीटरच्या वापरासह किंवा वापरकर्त्याच्या त्यांच्या स्वत:च्या टोकन-आधारित प्रमाणीकरण योजनेच्या वापरासह एकत्रित केल्यावर, असुरक्षिततेमुळे एखाद्याला नॉन-वर्किंग खाते वापरून VPN मध्ये प्रवेश मिळू शकतो.

गैर-सुरक्षा बदलांमध्ये, क्लायंट आणि सर्व्हरद्वारे वापरण्यासाठी सहमत असलेल्या TLS सिफरच्या माहितीच्या प्रदर्शनाचा विस्तार आहे. TLS 1.3 आणि EC प्रमाणपत्रांसाठी समर्थनाबद्दल योग्य माहितीसह. याव्यतिरिक्त, OpenVPN स्टार्टअप दरम्यान प्रमाणपत्र रद्दीकरण सूचीसह CRL फाइलची अनुपस्थिती आता एक त्रुटी मानली जाते ज्यामुळे समाप्ती होते.

स्त्रोत: opennet.ru