เวอร์ชันแก้ไขของ OpenVPN 2.5.2 และ 2.4.11 ได้รับการจัดเตรียมไว้แล้ว ซึ่งเป็นแพ็คเกจสำหรับการสร้างเครือข่ายส่วนตัวเสมือนที่ช่วยให้คุณสามารถจัดระเบียบการเชื่อมต่อที่เข้ารหัสระหว่างเครื่องไคลเอนต์สองเครื่องหรือจัดเตรียมเซิร์ฟเวอร์ VPN แบบรวมศูนย์สำหรับการทำงานพร้อมกันของไคลเอนต์หลายตัว รหัส OpenVPN ได้รับการเผยแพร่ภายใต้ใบอนุญาต GPLv2 แพ็คเกจไบนารี่สำเร็จรูปถูกสร้างขึ้นสำหรับ Debian, Ubuntu, CentOS, RHEL และ Windows
รุ่นใหม่แก้ไขช่องโหว่ (CVE-2020-15078) ที่ทำให้ผู้โจมตีระยะไกลสามารถข้ามการตรวจสอบสิทธิ์และข้อจำกัดการเข้าถึงเพื่อทำให้การตั้งค่า VPN รั่วไหลได้ ปัญหาปรากฏบนเซิร์ฟเวอร์ที่ได้รับการกำหนดค่าให้ใช้ deferred_auth เท่านั้น ภายใต้สถานการณ์บางอย่าง ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ส่งคืนข้อความ PUSH_REPLY พร้อมข้อมูลเกี่ยวกับการตั้งค่า VPN ก่อนที่จะส่งข้อความ AUTH_FAILED เมื่อรวมกับการใช้พารามิเตอร์ --auth-gen-token หรือการใช้รูปแบบการตรวจสอบความถูกต้องตามโทเค็นของผู้ใช้เอง ช่องโหว่อาจส่งผลให้มีผู้เข้าถึง VPN โดยใช้บัญชีที่ไม่ทำงาน
ท่ามกลางการเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัย มีการขยายการแสดงข้อมูลเกี่ยวกับรหัส TLS ที่ตกลงให้ใช้โดยไคลเอนต์และเซิร์ฟเวอร์ รวมถึงข้อมูลที่ถูกต้องเกี่ยวกับการรองรับใบรับรอง TLS 1.3 และ EC นอกจากนี้ การไม่มีไฟล์ CRL ที่มีรายการเพิกถอนใบรับรองระหว่างการเริ่มต้น OpenVPN จะถือเป็นข้อผิดพลาดที่นำไปสู่การยุติ
ที่มา: opennet.ru