OpenVPN 2.5.2 र 2.4.11 कमजोरी फिक्सको साथ अपडेट

OpenVPN 2.5.2 र 2.4.11 को सुधारात्मक रिलीजहरू तयार गरिएको छ, भर्चुअल निजी नेटवर्कहरू सिर्जना गर्नको लागि एउटा प्याकेज जसले तपाईंलाई दुई क्लाइन्ट मेशिनहरू बीच इन्क्रिप्टेड जडान व्यवस्थित गर्न वा धेरै ग्राहकहरूको एकै साथ सञ्चालनको लागि केन्द्रीकृत VPN सर्भर प्रदान गर्न अनुमति दिन्छ। OpenVPN कोड GPLv2 लाइसेन्स अन्तर्गत वितरण गरिएको छ, डेबियन, Ubuntu, CentOS, RHEL र Windows को लागि तयार बाइनरी प्याकेजहरू उत्पन्न गरिन्छ।

नयाँ विज्ञप्तिहरूले एक जोखिम (CVE-2020-15078) फिक्स गर्दछ जसले रिमोट आक्रमणकर्तालाई VPN सेटिङहरू लीक गर्न प्रमाणीकरण र पहुँच प्रतिबन्धहरू बाइपास गर्न अनुमति दिन्छ। समस्या deferred_auth प्रयोग गर्न कन्फिगर गरिएका सर्भरहरूमा मात्र देखिन्छ। केहि परिस्थितिहरूमा, आक्रमणकारीले AUTH_FAILED सन्देश पठाउनु अघि VPN सेटिङहरूको बारेमा डाटाको साथ PUSH_REPLY सन्देश फिर्ता गर्न सर्भरलाई बाध्य पार्न सक्छ। --auth-gen-टोकन प्यारामिटरको प्रयोग वा प्रयोगकर्ताको आफ्नै टोकन-आधारित प्रमाणीकरण योजनाको प्रयोगसँग जोड्दा, कमजोरीले गर्दा कसैले गैर-कार्यकारी खाता प्रयोग गरी VPN मा पहुँच प्राप्त गर्न सक्छ।

गैर-सुरक्षा परिवर्तनहरू मध्ये, ग्राहक र सर्भर द्वारा प्रयोगको लागि सहमत TLS साइफरहरूको बारेमा जानकारीको प्रदर्शनको विस्तार छ। TLS 1.3 र EC प्रमाणपत्रहरूको लागि समर्थनको बारेमा सही जानकारी सहित। थप रूपमा, OpenVPN स्टार्टअपको समयमा प्रमाणपत्र रद्द गर्ने सूचीको साथ CRL फाइलको अनुपस्थितिलाई अब समाप्तिमा नेतृत्व गर्ने त्रुटिको रूपमा व्यवहार गरिन्छ।

स्रोत: opennet.ru