Kutulutsa koyenera kwa OpenVPN 2.5.2 ndi 2.4.11 kwakonzedwa, phukusi lopangira maukonde achinsinsi omwe amakulolani kuti mukonzekere kulumikizana kwachinsinsi pakati pa makina awiri a kasitomala kapena kupereka seva yapakati ya VPN kuti igwire ntchito nthawi imodzi yamakasitomala angapo. Khodi ya OpenVPN imagawidwa pansi pa layisensi ya GPLv2, mapaketi a binary okonzeka amapangidwira Debian, Ubuntu, CentOS, RHEL ndi Windows.
Zotulutsa zatsopanozi zimakonza chiwopsezo (CVE-2020-15078) chomwe chimalola wowukira kutali kuti adutse kutsimikizika ndi zoletsa zoletsa kutsitsa zoikamo za VPN. Vutoli limangowonekera pa maseva omwe adakonzedwa kuti agwiritse ntchito deferred_auth. Nthawi zina, wowukira atha kukakamiza seva kuti ibweze uthenga wa PUSH_REPLY wokhala ndi data yokhudzana ndi zokonda za VPN musanatumize uthenga wa AUTH_FAILED. Zikaphatikizidwa ndi kugwiritsa ntchito --auth-gen-token parameter kapena kugwiritsa ntchito kwa wogwiritsa ntchito njira yake yotsimikizira zizindikiro, kusatetezeka kungapangitse wina kupeza mwayi wogwiritsa ntchito VPN pogwiritsa ntchito akaunti yosagwira ntchito.
Pakati pa zosintha zopanda chitetezo, pali kukulitsa kwa chiwonetsero chazidziwitso za TLS ciphers zomwe zagwirizana kuti zigwiritsidwe ntchito ndi kasitomala ndi seva. Kuphatikizirapo mfundo zolondola zokhudza chithandizo cha satifiketi za TLS 1.3 ndi EC. Kuphatikiza apo, kusowa kwa fayilo ya CRL yokhala ndi mndandanda wochotsa satifiketi pakuyambitsa kwa OpenVPN tsopano kumawoneka ngati cholakwika chomwe chimatsogolera kuthetsedwa.
Source: opennet.ru