Opravné vydania boli pripravené OpenVPN 2.5.2 a 2.4.11, balík na vytváranie virtuálnych súkromných sietí, ktorý umožňuje organizovať šifrované pripojenie medzi dvoma klientskymi počítačmi alebo poskytovať centralizovaný VPN server pre súčasnú prevádzku viacerých klientov. Kód OpenVPN distribuované pod licenciou GPLv2, pre ktoré sa generujú hotové binárne balíky Debian, Ubuntu, CentOS, RHEL a Windows.
Nové vydania opravujú zraniteľnosť (CVE-2020-15078), ktorá umožňuje vzdialenému útočníkovi obísť overovanie a obmedzenia prístupu a uniknúť nastavenia VPN. Problém sa týka iba serverov nakonfigurovaných na používanie odloženého overovania (deferred_auth). Za určitých okolností môže útočník prinútiť server vrátiť správu PUSH_REPLY obsahujúcu nastavenia. VPN pred odoslaním správy AUTH_FAILED. V kombinácii s parametrom „--auth-gen-token“ alebo vlastnou schémou autentifikácie založenou na tokenoch používateľa môže táto zraniteľnosť viesť k prístupu k VPN pomocou nefunkčného účtu.
Medzi zmenami, ktoré sa netýkajú bezpečnosti, je rozšírený výstup informácií o šifrách TLS dohodnutých na použitie klientom. serverPatria sem správne informácie o podpore certifikátov TLS 1.3 a EC. Okrem toho počas spustenia chýbal súbor CRL obsahujúci zoznam zrušených certifikátov. OpenVPN sa teraz považuje za chybu, ktorá vedie k ukončeniu.
Zdroj: opennet.ru
