Ang mga corrective release ng OpenVPN 2.5.2 at 2.4.11 ay inihanda, isang package para sa paglikha ng mga virtual private network na nagbibigay-daan sa iyo upang ayusin ang isang naka-encrypt na koneksyon sa pagitan ng dalawang client machine o magbigay ng isang sentralisadong VPN server para sa sabay-sabay na operasyon ng ilang mga kliyente. Ang OpenVPN code ay ipinamahagi sa ilalim ng lisensya ng GPLv2, ang mga handa na binary na pakete ay nabuo para sa Debian, Ubuntu, CentOS, RHEL at Windows.
Ang mga bagong release ay nag-aayos ng isang kahinaan (CVE-2020-15078) na nagbibigay-daan sa isang malayuang umaatake na i-bypass ang pagpapatotoo at pag-access ng mga paghihigpit upang ma-leak ang mga setting ng VPN. Lumalabas lang ang problema sa mga server na naka-configure na gumamit ng deferred_auth. Sa ilang partikular na sitwasyon, maaaring pilitin ng isang attacker ang server na magbalik ng PUSH_REPLY na mensahe na may data tungkol sa mga setting ng VPN bago ipadala ang AUTH_FAILED na mensahe. Kapag isinama sa paggamit ng --auth-gen-token parameter o paggamit ng user ng sarili nilang token-based authentication scheme, ang kahinaan ay maaaring magresulta sa pagkakaroon ng access sa VPN gamit ang isang hindi gumaganang account.
Kabilang sa mga pagbabagong hindi pang-seguridad, mayroong pagpapalawak ng pagpapakita ng impormasyon tungkol sa mga TLS cipher na napagkasunduan para sa paggamit ng kliyente at server. Kasama ang tamang impormasyon tungkol sa suporta para sa mga TLS 1.3 at EC certificate. Bilang karagdagan, ang kawalan ng isang CRL file na may listahan ng pagbawi ng sertipiko sa panahon ng OpenVPN startup ay itinuturing na ngayon bilang isang error na humahantong sa pagwawakas.
Pinagmulan: opennet.ru