Припремљена су корективна издања ОпенВПН 2.5.2 и 2.4.11, пакета за креирање виртуелних приватних мрежа који вам омогућава да организујете шифровану везу између две клијентске машине или обезбедите централизовани ВПН сервер за истовремени рад више клијената. ОпенВПН код се дистрибуира под ГПЛв2 лиценцом, генеришу се готови бинарни пакети за Дебиан, Убунту, ЦентОС, РХЕЛ и Виндовс.
Нова издања поправљају рањивост (ЦВЕ-2020-15078) која омогућава удаљеном нападачу да заобиђе аутентификацију и ограничења приступа како би процурила ВПН подешавања. Проблем се појављује само на серверима који су конфигурисани да користе деферред_аутх. Под одређеним околностима, нападач може натерати сервер да врати ПУСХ_РЕПЛИ поруку са подацима о ВПН подешавањима пре него што пошаље поруку АУТХ_ФАИЛЕД. Када се комбинује са употребом параметра --аутх-ген-токен или корисниковом употребом сопствене шеме аутентификације засноване на токену, рањивост би могла да доведе до тога да неко добије приступ ВПН-у користећи нерадни налог.
Међу небезбедносним променама је проширење приказа информација о ТЛС шифрама договореним за коришћење од стране клијента и сервера. Укључујући тачне информације о подршци за ТЛС 1.3 и ЕЦ сертификате. Поред тога, одсуство ЦРЛ датотеке са листом опозива сертификата током покретања ОпенВПН-а се сада третира као грешка која доводи до укидања.
Извор: опеннет.ру