Matoleo sahihi ya OpenVPN 2.5.2 na 2.4.11 yametayarishwa, kifurushi cha kuunda mitandao ya kibinafsi ya kibinafsi ambayo hukuruhusu kupanga muunganisho uliosimbwa kati ya mashine mbili za mteja au kutoa seva ya VPN ya kati kwa operesheni ya wakati mmoja ya wateja kadhaa. Msimbo wa OpenVPN unasambazwa chini ya leseni ya GPLv2, vifurushi vya binary vilivyotengenezwa tayari vinatengenezwa kwa Debian, Ubuntu, CentOS, RHEL na Windows.
Matoleo mapya hurekebisha athari (CVE-2020-15078) ambayo inaruhusu mvamizi wa mbali kupita uthibitishaji na vizuizi vya ufikiaji ili kuvuja mipangilio ya VPN. Tatizo linaonekana tu kwenye seva ambazo zimesanidiwa kutumia deferred_auth. Katika hali fulani, mshambulizi anaweza kulazimisha seva kurudisha ujumbe PUSH_REPLY wenye data kuhusu mipangilio ya VPN kabla ya kutuma ujumbe wa AUTH_FAILED. Ikiunganishwa na matumizi ya kigezo cha --auth-gen-token au matumizi ya mtumiaji ya mpango wake wa uthibitishaji kulingana na tokeni, athari inaweza kusababisha mtu kupata ufikiaji wa VPN kwa kutumia akaunti isiyofanya kazi.
Miongoni mwa mabadiliko yasiyo ya usalama, kuna upanuzi wa uonyeshaji wa taarifa kuhusu misimbo ya TLS iliyokubaliwa kutumiwa na mteja na seva. Ikijumuisha taarifa sahihi kuhusu usaidizi wa vyeti vya TLS 1.3 na EC. Kwa kuongezea, kukosekana kwa faili ya CRL iliyo na orodha ya kubatilisha cheti wakati wa kuanzisha OpenVPN sasa kunachukuliwa kama kosa linalosababisha kusitishwa.
Chanzo: opennet.ru