Підготовлено коригувальні випуски OpenVPN 2.5.2 та 2.4.11, пакету для створення віртуальних приватних мереж, що дозволяє організувати шифроване з'єднання між двома клієнтськими машинами або забезпечити роботу централізованого VPN-сервера для одночасної роботи кількох клієнтів. Код OpenVPN розповсюджується під ліцензією GPLv2, готові бінарні пакети формуються для Debian, Ubuntu, CentOS, RHEL та Windows.
У нових випусках усунуто вразливість (CVE-2020-15078), що дозволяє віддаленому атакуючому обійти автентифікацію та обмеження доступу для організації витоку даних про налаштування VPN. Проблема проявляється лише на серверах, на яких налаштовано використання відкладеної автентифікації (deferred_auth). Атакуючий з певним збігом обставин може змусити сервер повернути повідомлення PUSH_REPLY з даними про налаштування VPN до відправлення повідомлення AUTH_FAILED. У поєднанні з використанням параметра "-auth-gen-token" або застосуванням користувачем власної схеми автентифікації на основі токенів, вразливість може призвести до отримання доступу до VPN, використовуючи неробочий обліковий запис.
З не пов'язаних з безпекою змін відзначається розширення виведення інформації про TLS-шифри, узгоджені для використання клієнтом та сервером. У тому числі додані коректні відомості щодо підтримки TLS 1.3 та EC-сертифікатів. Крім того, відсутність CRL-файлу зі списком відкликаних сертифікатів під час запуску OpenVPN тепер сприймається як помилка, що призводить до завершення роботи.
Джерело: opennet.ru