اصلاحی ریلیز تیار کر لی گئی ہیں۔ OpenVPN 2.5.2 اور 2.4.11، ورچوئل پرائیویٹ نیٹ ورکس بنانے کے لیے ایک پیکج، جو آپ کو دو کلائنٹ مشینوں کے درمیان ایک انکرپٹڈ کنکشن کو منظم کرنے یا کئی کلائنٹس کے بیک وقت آپریشن کے لیے مرکزی VPN سرور فراہم کرنے کی اجازت دیتا ہے۔ کوڈ OpenVPN GPLv2 لائسنس کے تحت تقسیم کیا جاتا ہے، کے لیے تیار شدہ بائنری پیکجز تیار کیے جاتے ہیں۔ Debian, Ubuntu, CentOS، RHEL اور Windows.
نئی ریلیزز ایک کمزوری (CVE-2020-15078) کو ٹھیک کرتی ہیں جو ایک ریموٹ حملہ آور کو VPN کی ترتیبات کو لیک کرنے کے لیے تصدیق اور رسائی کی پابندیوں کو نظرانداز کرنے کی اجازت دیتی ہے۔ یہ مسئلہ صرف ان سرورز کو متاثر کرتا ہے جنہیں موخر شدہ تصدیق (deferred_auth) استعمال کرنے کے لیے ترتیب دیا گیا ہے۔ مخصوص حالات میں، حملہ آور سرور کو ترتیبات پر مشتمل PUSH_REPLY پیغام واپس کرنے پر مجبور کر سکتا ہے۔ VPN AUTH_FAILED پیغام بھیجنے سے پہلے۔ جب "--auth-gen-token" پیرامیٹر یا صارف کی اپنی ٹوکن پر مبنی تصدیقی اسکیم کے ساتھ ملایا جائے تو، کمزوری غیر فعال اکاؤنٹ کا استعمال کرتے ہوئے VPN تک رسائی کا باعث بن سکتی ہے۔
غیر سیکورٹی تبدیلیوں میں، TLS سائفرز کے بارے میں معلومات کا آؤٹ پٹ جس پر کلائنٹ کے استعمال کے لیے اتفاق کیا گیا ہے، کو بڑھا دیا گیا ہے اور سروراس میں TLS 1.3 اور EC سرٹیفکیٹ سپورٹ کے بارے میں درست معلومات شامل ہیں۔ مزید برآں، منسوخ شدہ سرٹیفکیٹس کی فہرست پر مشتمل CRL فائل شروع کے دوران غائب تھی۔ OpenVPN اب اسے ایک غلطی کے طور پر سمجھا جاتا ہے جس کا نتیجہ ختم ہوجاتا ہے۔
ماخذ: opennet.ru
