Er zijn corrigerende releases van OpenVPN 2.5.2 en 2.4.11 voorbereid, een pakket voor het creëren van virtuele privénetwerken waarmee u een gecodeerde verbinding tussen twee clientmachines kunt organiseren of een gecentraliseerde VPN-server kunt bieden voor de gelijktijdige werking van meerdere clients. De OpenVPN-code wordt gedistribueerd onder de GPLv2-licentie, er worden kant-en-klare binaire pakketten gegenereerd voor Debian, Ubuntu, CentOS, RHEL en Windows.
De nieuwe releases verhelpen een kwetsbaarheid (CVE-2020-15078) waardoor een aanvaller op afstand authenticatie en toegangsbeperkingen kan omzeilen om VPN-instellingen te lekken. Het probleem doet zich alleen voor op servers die zijn geconfigureerd om deferred_auth te gebruiken. Onder bepaalde omstandigheden kan een aanvaller de server dwingen een PUSH_REPLY-bericht terug te sturen met gegevens over de VPN-instellingen voordat het AUTH_FAILED-bericht wordt verzonden. In combinatie met het gebruik van de parameter --auth-gen-token of het gebruik door de gebruiker van zijn eigen op tokens gebaseerde authenticatieschema, kan de kwetsbaarheid ertoe leiden dat iemand toegang krijgt tot de VPN met behulp van een niet-werkend account.
Onder de niet-beveiligingswijzigingen is er een uitbreiding van de weergave van informatie over de TLS-coderingen die zijn overeengekomen voor gebruik door de client en server. Inclusief correcte informatie over ondersteuning voor TLS 1.3 en EG-certificaten. Bovendien wordt de afwezigheid van een CRL-bestand met een certificaatintrekkingslijst tijdens het opstarten van OpenVPN nu behandeld als een fout die tot beëindiging leidt.
Bron: opennet.ru