Foram preparadas versões corretivas do OpenVPN 2.5.2 e 2.4.11, um pacote para criação de redes privadas virtuais que permite organizar uma conexão criptografada entre duas máquinas clientes ou fornecer um servidor VPN centralizado para a operação simultânea de vários clientes. O código OpenVPN é distribuído sob a licença GPLv2, pacotes binários prontos são gerados para Debian, Ubuntu, CentOS, RHEL e Windows.
As novas versões corrigem uma vulnerabilidade (CVE-2020-15078) que permite que um invasor remoto ignore a autenticação e as restrições de acesso para vazar configurações de VPN. O problema aparece apenas em servidores configurados para usar deferred_auth. Sob certas circunstâncias, um invasor pode forçar o servidor a retornar uma mensagem PUSH_REPLY com dados sobre as configurações da VPN antes de enviar a mensagem AUTH_FAILED. Quando combinada com o uso do parâmetro --auth-gen-token ou o uso pelo usuário de seu próprio esquema de autenticação baseado em token, a vulnerabilidade pode resultar em alguém obtendo acesso à VPN usando uma conta que não funciona.
Entre as mudanças não relacionadas à segurança, está a ampliação da exibição de informações sobre as cifras TLS acordadas para uso do cliente e servidor. Incluindo informações corretas sobre suporte para certificados TLS 1.3 e EC. Além disso, a ausência de um arquivo CRL com uma lista de certificados revogados durante a inicialização do OpenVPN agora é tratada como um erro que leva ao encerramento.
Fonte: opennet.ru