Janë përgatitur lëshimet korrigjuese të OpenVPN 2.5.2 dhe 2.4.11, një paketë për krijimin e rrjeteve virtuale private që ju lejon të organizoni një lidhje të koduar midis dy makinave të klientit ose të siguroni një server të centralizuar VPN për funksionimin e njëkohshëm të disa klientëve. Kodi OpenVPN shpërndahet nën licencën GPLv2, paketat binare të gatshme gjenerohen për Debian, Ubuntu, CentOS, RHEL dhe Windows.
Publikimet e reja rregullojnë një dobësi (CVE-2020-15078) që lejon një sulmues në distancë të anashkalojë kufizimet e vërtetimit dhe aksesit për të nxjerrë cilësimet e VPN. Problemi shfaqet vetëm në serverët që janë konfiguruar të përdorin deferred_auth. Në rrethana të caktuara, një sulmues mund ta detyrojë serverin të kthejë një mesazh PUSH_REPLY me të dhëna rreth cilësimeve të VPN përpara se të dërgojë mesazhin AUTH_FAILED. Kur kombinohet me përdorimin e parametrit --auth-gen-token ose përdorimin nga përdoruesi të skemës së tij të vërtetimit të bazuar në token, dobësia mund të rezultojë që dikush të ketë akses në VPN duke përdorur një llogari që nuk funksionon.
Ndër ndryshimet jo të sigurisë, ekziston një zgjerim i shfaqjes së informacionit në lidhje me shifrat TLS të rënë dakord për përdorim nga klienti dhe serveri. Përfshirë informacionin e saktë në lidhje me mbështetjen për certifikatat TLS 1.3 dhe EC. Për më tepër, mungesa e një skedari CRL me një listë të revokimit të certifikatës gjatë fillimit të OpenVPN tani trajtohet si një gabim që çon në përfundim.
Burimi: opennet.ru