Keluaran pembetulan OpenVPN 2.5.2 dan 2.4.11 telah disediakan, pakej untuk mencipta rangkaian peribadi maya yang membolehkan anda mengatur sambungan yang disulitkan antara dua mesin pelanggan atau menyediakan pelayan VPN terpusat untuk operasi serentak beberapa pelanggan. Kod OpenVPN diedarkan di bawah lesen GPLv2, pakej binari sedia dijana untuk Debian, Ubuntu, CentOS, RHEL dan Windows.
Keluaran baharu membetulkan kerentanan (CVE-2020-15078) yang membolehkan penyerang jauh memintas pengesahan dan sekatan akses untuk membocorkan tetapan VPN. Masalahnya hanya muncul pada pelayan yang dikonfigurasikan untuk menggunakan deferred_auth. Dalam keadaan tertentu, penyerang boleh memaksa pelayan untuk mengembalikan mesej PUSH_REPLY dengan data tentang tetapan VPN sebelum menghantar mesej AUTH_FAILED. Apabila digabungkan dengan penggunaan parameter --auth-gen-token atau penggunaan skim pengesahan berasaskan token mereka sendiri oleh pengguna, kerentanan itu boleh menyebabkan seseorang mendapat akses kepada VPN menggunakan akaun yang tidak berfungsi.
Antara perubahan bukan keselamatan, terdapat pengembangan paparan maklumat tentang sifir TLS yang dipersetujui untuk digunakan oleh pelanggan dan pelayan. Termasuk maklumat yang betul tentang sokongan untuk sijil TLS 1.3 dan EC. Selain itu, ketiadaan fail CRL dengan senarai pembatalan sijil semasa permulaan OpenVPN kini dianggap sebagai ralat yang membawa kepada penamatan.
Sumber: opennet.ru