OpenVPN 2.5.2 اور 2.4.11 کی اصلاحی ریلیز تیار کی گئی ہیں، ورچوئل پرائیویٹ نیٹ ورکس بنانے کے لیے ایک پیکج جو آپ کو دو کلائنٹ مشینوں کے درمیان ایک انکرپٹڈ کنکشن کو منظم کرنے یا متعدد کلائنٹس کے بیک وقت آپریشن کے لیے مرکزی VPN سرور فراہم کرنے کی اجازت دیتا ہے۔ OpenVPN کوڈ GPLv2 لائسنس کے تحت تقسیم کیا جاتا ہے، Debian، Ubuntu، CentOS، RHEL اور Windows کے لیے ریڈی میڈ بائنری پیکجز تیار کیے جاتے ہیں۔
نئی ریلیزز ایک کمزوری (CVE-2020-15078) کو ٹھیک کرتی ہیں جو ایک ریموٹ حملہ آور کو VPN کی ترتیبات کو لیک کرنے کے لیے تصدیق اور رسائی کی پابندیوں کو نظرانداز کرنے کی اجازت دیتی ہے۔ مسئلہ صرف ان سرورز پر ظاہر ہوتا ہے جو deferred_auth استعمال کرنے کے لیے کنفیگر کیے گئے ہیں۔ مخصوص حالات میں، حملہ آور AUTH_FAILED پیغام بھیجنے سے پہلے سرور کو VPN ترتیبات کے بارے میں ڈیٹا کے ساتھ PUSH_REPLY پیغام واپس کرنے پر مجبور کر سکتا ہے۔ جب --auth-gen-token پیرامیٹر کے استعمال یا صارف کے اپنے ٹوکن پر مبنی تصدیقی اسکیم کے استعمال کے ساتھ ملایا جائے تو، خطرے کے نتیجے میں کسی کو غیر کام کرنے والے اکاؤنٹ کا استعمال کرتے ہوئے VPN تک رسائی حاصل ہو سکتی ہے۔
غیر سیکورٹی تبدیلیوں میں، TLS سائفرز کے بارے میں معلومات کی نمائش کی توسیع ہے جس پر کلائنٹ اور سرور کے استعمال کے لیے اتفاق کیا گیا ہے۔ بشمول TLS 1.3 اور EC سرٹیفکیٹس کے لیے سپورٹ کے بارے میں درست معلومات۔ اس کے علاوہ، OpenVPN سٹارٹ اپ کے دوران سرٹیفکیٹ کی منسوخی کی فہرست کے ساتھ CRL فائل کی عدم موجودگی کو اب ایک غلطی سمجھا جاتا ہے جس کی وجہ سے اسے ختم کر دیا جاتا ہے۔
ماخذ: opennet.ru