OpenVPN 2.5.2 va 2.4.11 tuzatuvchi relizlari tayyorlandi, bu ikkita mijoz mashinasi o'rtasida shifrlangan ulanishni tashkil qilish yoki bir vaqtning o'zida bir nechta mijozlarning ishlashi uchun markazlashtirilgan VPN serverini taqdim etish imkonini beruvchi virtual xususiy tarmoqlarni yaratish paketi. OpenVPN kodi GPLv2 litsenziyasi ostida tarqatiladi, Debian, Ubuntu, CentOS, RHEL va Windows uchun tayyor ikkilik paketlar yaratiladi.
Yangi relizlar zaiflikni (CVE-2020-15078) tuzatadi, bu masofaviy tajovuzkorga VPN sozlamalarini sizdirish uchun autentifikatsiyani chetlab o'tish va kirish cheklovlariga imkon beradi. Muammo faqat deferred_auth dan foydalanish uchun tuzilgan serverlarda paydo bo'ladi. Muayyan sharoitlarda tajovuzkor AUTH_FAILED xabarini yuborishdan oldin serverni VPN sozlamalari haqidagi maΚΌlumotlar bilan PUSH_REPLY xabarini qaytarishga majbur qilishi mumkin. --auth-gen-token parametridan foydalanish yoki foydalanuvchi o'zining tokenga asoslangan autentifikatsiya sxemasidan foydalanishi bilan birlashganda, zaiflik kimdir ishlamaydigan hisob qaydnomasi yordamida VPN-ga kirishiga olib kelishi mumkin.
Xavfsizlik bilan bog'liq bo'lmagan o'zgarishlar orasida mijoz va server tomonidan foydalanish uchun kelishilgan TLS shifrlari haqidagi ma'lumotlar ko'rinishining kengayishi mavjud. TLS 1.3 va EC sertifikatlarini qo'llab-quvvatlash haqida to'g'ri ma'lumotni o'z ichiga oladi. Bundan tashqari, OpenVPN ishga tushirilganda sertifikatni bekor qilish ro'yxati bilan CRL faylining yo'qligi endi tugatishga olib keladigan xato sifatida qaraladi.
Manba: opennet.ru