OpenVPN 2.5.2 ve 2.4.11'in düzeltici sürümleri hazırlandı; iki istemci makine arasında şifreli bir bağlantı düzenlemenize veya birkaç istemcinin eşzamanlı çalışması için merkezi bir VPN sunucusu sağlamanıza olanak tanıyan sanal özel ağlar oluşturmaya yönelik bir paket. OpenVPN kodu GPLv2 lisansı altında dağıtılır, Debian, Ubuntu, CentOS, RHEL ve Windows için hazır ikili paketler oluşturulur.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
Kaynak: opennet.ru