Kaluaran corrective of OpenVPN 2.5.2 jeung 2.4.11 geus disiapkeun, paket pikeun nyieun jaringan pribadi virtual nu ngidinan Anjeun pikeun ngatur hiji sambungan énkripsi antara dua mesin klien atawa nyadiakeun server VPN terpusat pikeun operasi simultaneous sababaraha klien. Kode OpenVPN disebarkeun dina lisénsi GPLv2, bungkusan binér siap-siap dihasilkeun pikeun Debian, Ubuntu, CentOS, RHEL sareng Windows.
Kaluaran anyar ngalereskeun kerentanan (CVE-2020-15078) anu ngamungkinkeun panyerang jauh ngalangkungan auténtikasi sareng larangan aksés pikeun ngabocorkeun setélan VPN. Masalahna ngan muncul dina server anu dikonpigurasi nganggo deferred_auth. Dina kaayaan anu tangtu, panyerang tiasa maksa server pikeun mulangkeun pesen PUSH_REPLY sareng data ngeunaan setélan VPN sateuacan ngirim pesen AUTH_FAILED. Lamun digabungkeun jeung pamakéan parameter --auth-gen-token atawa pamakéan pamaké tina skéma auténtikasi dumasar-token sorangan, kerentanan bisa ngakibatkeun batur meunang aksés ka VPN maké akun non-kerja.
Diantara parobihan non-kaamanan, aya ékspansi tampilan inpormasi ngeunaan cipher TLS anu disatujuan pikeun dianggo ku klien sareng server. Kaasup inpormasi anu leres ngeunaan dukungan pikeun sertipikat TLS 1.3 sareng EC. Salaku tambahan, henteuna file CRL sareng daptar panyabutan sertipikat nalika ngamimitian OpenVPN ayeuna dianggap salaku kasalahan anu nyababkeun terminasi.
sumber: opennet.ru