update ကို OpenVPN ၂.၅.၂ နှင့် ၂.၄.၁၁ တွင် အားနည်းချက်ပြင်ဆင်မှုများ ပါဝင်သည်။

ပြင်ဆင်ချက်ထုတ်ပြန်ချက်များ ပြင်ဆင်ပြီးပါပြီ OpenVPN ၂.၅.၆ နှင့် ၂.၄.၁၂၊ virtual private network များဖန်တီးရန်အတွက် package တစ်ခုဖြစ်ပြီး client စက်နှစ်ခုကြားတွင် encrypted connection တစ်ခုကို စီစဉ်ပေးနိုင်သည် သို့မဟုတ် client များစွာ တစ်ပြိုင်နက်လည်ပတ်ရန်အတွက် centralized VPN server တစ်ခုကို ပံ့ပိုးပေးနိုင်သည်။ Code OpenVPN GPLv2 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသော၊ အသင့်လုပ် binary package များကို ထုတ်လုပ်သည် Debian, Ubuntu, CentOS, RHEL နှင့် Windows.

ဗားရှင်းအသစ်များတွင် အဝေးမှတိုက်ခိုက်သူတစ်ဦးသည် VPN ဆက်တင်များပေါက်ကြားရန် အထောက်အထားစိစစ်ခြင်းကိုကျော်ဖြတ်ပြီး ဝင်ရောက်ခွင့်ကန့်သတ်ချက်များကို ဝင်ရောက်ခွင့်ပြုသည့် အားနည်းချက် (CVE-2020-15078) ကို ပြင်ဆင်ပေးပါသည်။ ဤပြဿနာသည် ရွှေ့ဆိုင်းထားသော အထောက်အထားစိစစ်ခြင်းကို အသုံးပြုရန် ပြင်ဆင်ထားသော ဆာဗာများ (deferred_auth) ကိုသာ သက်ရောက်မှုရှိပါသည်။ အချို့သောအခြေအနေများတွင်၊ တိုက်ခိုက်သူသည် ဆက်တင်များပါရှိသော PUSH_REPLY မက်ဆေ့ချ်ကို ဆာဗာသို့ ပြန်ပို့ရန် အတင်းအကျပ်ပြုလုပ်နိုင်သည်။ VPN ကို AUTH_FAILED မက်ဆေ့ချ်မပို့မီ။ "--auth-gen-token" parameter သို့မဟုတ် အသုံးပြုသူ၏ကိုယ်ပိုင် token-based authentication scheme နှင့်ပေါင်းစပ်လိုက်သောအခါ၊ အားနည်းချက်သည် လုပ်ဆောင်ချက်မရှိသောအကောင့်ကို အသုံးပြု၍ VPN ဝင်ရောက်ခွင့်သို့ ဦးတည်စေနိုင်သည်။

လုံခြုံရေးမဟုတ်သော ပြောင်းလဲမှုများတွင်၊ client အသုံးပြုရန် သဘောတူညီထားသော TLS ciphers များအကြောင်း အချက်အလက်များ ထွက်ရှိမှုကို တိုးချဲ့ထားပြီး ဆာဗာ၎င်းတွင် TLS 1.3 နှင့် EC လက်မှတ်ပံ့ပိုးမှုအကြောင်း မှန်ကန်သောအချက်အလက်များ ပါဝင်သည်။ ထို့အပြင်၊ ရုပ်သိမ်းထားသော လက်မှတ်များစာရင်းပါရှိသော CRL ဖိုင်သည် စတင်လည်ပတ်စဉ်အတွင်း ပျောက်ဆုံးနေပါသည်။ OpenVPN ယခုအခါ ရပ်စဲခြင်းဖြစ်စေသည့် အမှားတစ်ခုအဖြစ် သတ်မှတ်သည်။

source: opennet.ru