Przygotowano wersje korygujące OpenVPN 2.5.2 i 2.4.11, pakiet do tworzenia wirtualnych sieci prywatnych, który pozwala na zorganizowanie szyfrowanego połączenia pomiędzy dwoma maszynami klienckimi lub udostępnienie scentralizowanego serwera VPN do jednoczesnej pracy kilku klientów. Kod OpenVPN jest dystrybuowany na licencji GPLv2, generowane są gotowe pakiety binarne dla Debiana, Ubuntu, CentOS, RHEL i Windows.
Nowe wersje usuwają lukę w zabezpieczeniach (CVE-2020-15078), która umożliwia zdalnemu atakującemu ominięcie ograniczeń uwierzytelniania i dostępu w celu wycieku ustawień VPN. Problem pojawia się tylko na serwerach skonfigurowanych do korzystania z deferred_auth. W pewnych okolicznościach atakujący może wymusić na serwerze zwrócenie wiadomości PUSH_REPLY z danymi o ustawieniach VPN przed wysłaniem wiadomości AUTH_FAILED. W połączeniu z użyciem parametru --auth-gen-token lub użyciem przez użytkownika własnego schematu uwierzytelniania opartego na tokenach, luka może spowodować, że ktoś uzyska dostęp do VPN przy użyciu niedziałającego konta.
Wśród zmian niezwiązanych z bezpieczeństwem można wymienić poszerzenie wyświetlania informacji o szyfrach TLS uzgodnionych do wykorzystania przez klienta i serwer. Zawiera prawidłowe informacje o obsłudze certyfikatów TLS 1.3 i EC. Ponadto brak pliku CRL z listą unieważnionych certyfikatów podczas uruchamiania OpenVPN jest teraz traktowany jako błąd prowadzący do zakończenia.
Źródło: opennet.ru