Det er utarbeidet korrigerende utgivelser av OpenVPN 2.5.2 og 2.4.11, en pakke for å lage virtuelle private nettverk som lar deg organisere en kryptert forbindelse mellom to klientmaskiner eller gi en sentralisert VPN-server for samtidig drift av flere klienter. OpenVPN-koden distribueres under GPLv2-lisensen, ferdige binære pakker genereres for Debian, Ubuntu, CentOS, RHEL og Windows.
De nye utgivelsene fikser en sårbarhet (CVE-2020-15078) som lar en ekstern angriper omgå autentisering og tilgangsbegrensninger for å lekke VPN-innstillinger. Problemet vises bare på servere som er konfigurert til å bruke deferred_auth. Under visse omstendigheter kan en angriper tvinge serveren til å returnere en PUSH_REPLY-melding med data om VPN-innstillingene før AUTH_FAILED-meldingen sendes. Når kombinert med bruken av --auth-gen-token-parameteren eller brukerens bruk av sitt eget tokenbaserte autentiseringsskjema, kan sårbarheten føre til at noen får tilgang til VPN-en ved å bruke en ikke-fungerende konto.
Blant ikke-sikkerhetsendringene er det en utvidelse av visningen av informasjon om TLS-chifrene som er avtalt for bruk av klienten og serveren. Inkludert korrekt informasjon om støtte for TLS 1.3 og EC-sertifikater. I tillegg blir fraværet av en CRL-fil med en sertifikatopphevelsesliste under oppstart av OpenVPN nå behandlet som en feil som fører til oppsigelse.
Kilde: opennet.ru