Inihanda na ang mga corrective release OpenVPN 2.5.2 at 2.4.11, isang pakete para sa paglikha ng mga virtual private network, na nagbibigay-daan sa iyong mag-organisa ng naka-encrypt na koneksyon sa pagitan ng dalawang client machine o magbigay ng isang sentralisadong VPN server para sa sabay-sabay na operasyon ng ilang client. Code OpenVPN ipinamamahagi sa ilalim ng lisensyang GPLv2, ang mga handa nang binary package ay nabubuo para sa Debian, Ubuntu, CentOS, RHEL at Windows.
Inaayos ng mga bagong release ang isang kahinaan (CVE-2020-15078) na nagpapahintulot sa isang remote attacker na malampasan ang authentication at ma-access ang mga paghihigpit upang ma-leak ang mga setting ng VPN. Ang isyu ay nakakaapekto lamang sa mga server na na-configure upang gumamit ng deferred authentication (deferred_auth). Sa ilalim ng ilang partikular na pagkakataon, maaaring pilitin ng isang attacker ang server na magbalik ng mensaheng PUSH_REPLY na naglalaman ng mga setting. VPN bago ipadala ang mensaheng AUTH_FAILED. Kapag isinama sa parameter na "--auth-gen-token" o sa sariling token-based authentication scheme ng isang user, ang kahinaan ay maaaring humantong sa pag-access sa VPN gamit ang isang hindi gumaganang account.
Sa mga pagbabagong hindi pangseguridad, ang output ng impormasyon tungkol sa mga TLS cipher na napagkasunduan para sa paggamit ng kliyente ay pinalawak at serverKabilang dito ang tamang impormasyon tungkol sa suporta sa TLS 1.3 at EC certificate. Bukod pa rito, nawawala ang CRL file na naglalaman ng listahan ng mga binawi na certificate noong nagsisimula ang operasyon. OpenVPN ay itinuturing na ngayon bilang isang error na nagreresulta sa pagwawakas.
Pinagmulan: opennet.ru
