Ġew ippreparati rilaxxi korrettivi ta 'OpenVPN 2.5.2 u 2.4.11, pakkett għall-ħolqien ta' netwerks privati virtwali li jippermettilek torganizza konnessjoni kriptata bejn żewġ magni tal-klijenti jew tipprovdi server VPN ċentralizzat għat-tħaddim simultanju ta 'diversi klijenti. Il-kodiċi OpenVPN huwa mqassam taħt il-liċenzja GPLv2, pakketti binarji lesti huma ġġenerati għal Debian, Ubuntu, CentOS, RHEL u Windows.
Ir-rilaxxi l-ġodda jiffissaw vulnerabbiltà (CVE-2020-15078) li tippermetti lil attakkant mill-bogħod jevita r-restrizzjonijiet tal-awtentikazzjoni u l-aċċess biex joħroġ is-settings tal-VPN. Il-problema tidher biss fuq servers li huma kkonfigurati biex jużaw deferred_auth. Taħt ċerti ċirkostanzi, attakkant jista 'jġiegħel lis-server jirritorna messaġġ PUSH_REPLY b'dejta dwar is-settings tal-VPN qabel ma jibgħat il-messaġġ AUTH_FAILED. Meta kkombinata mal-użu tal-parametru --auth-gen-token jew l-użu tal-utent tal-iskema ta 'awtentikazzjoni bbażata fuq tokens tagħhom stess, il-vulnerabbiltà tista' tirriżulta f'xi ħadd li jikseb aċċess għall-VPN billi juża kont li ma jaħdem.
Fost il-bidliet mhux tas-sigurtà, hemm espansjoni tal-wiri ta 'informazzjoni dwar iċ-ċifri TLS miftiehma għall-użu mill-klijent u s-server. Inkluż informazzjoni korretta dwar l-appoġġ għal TLS 1.3 u ċertifikati KE. Barra minn hekk, in-nuqqas ta’ fajl CRL b’lista ta’ revoka ta’ ċertifikat waqt l-istartjar ta’ OpenVPN issa huwa ttrattat bħala żball li jwassal għat-terminazzjoni.
Sors: opennet.ru