קערעקטיוו ריליסיז פון OpenVPN 2.5.2 און 2.4.11, אַ פּעקל פֿאַר קריייטינג ווירטואַל פּריוואַט נעטוואָרקס וואָס לאָזן איר צו אָרגאַניזירן אַ ינקריפּטיד פֿאַרבינדונג צווישן צוויי קליענט מאשינען אָדער צושטעלן אַ סענטראַלייזד וופּן סערווער פֿאַר קייפל קלייאַנץ אין דער זעלביקער צייט. די OpenVPN קאָד איז פונאנדערגעטיילט אונטער די GPLv2 דערלויבעניש, פאַרטיק ביינערי פּאַקאַדזשאַז זענען געשאפן פֿאַר Debian, Ubuntu, CentOS, RHEL און Windows.
В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра «—auth-gen-token» или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.
Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.
מקור: opennet.ru