Awọn idasilẹ atunṣe ti OpenVPN 2.5.2 ati 2.4.11 ti pese sile, package kan fun ṣiṣẹda awọn nẹtiwọọki aladani foju ti o fun ọ laaye lati ṣeto asopọ ti paroko laarin awọn ẹrọ alabara meji tabi pese olupin VPN aarin fun iṣẹ igbakọọkan ti awọn alabara pupọ. Awọn koodu OpenVPN ti pin labẹ iwe-aṣẹ GPLv2, awọn idii alakomeji ti o ṣetan ti ipilẹṣẹ fun Debian, Ubuntu, CentOS, RHEL ati Windows.
Awọn idasilẹ tuntun ṣe atunṣe ailagbara kan (CVE-2020-15078) ti o fun laaye ikọlu latọna jijin lati fori ijẹrisi ati awọn ihamọ iwọle lati jo awọn eto VPN. Iṣoro naa han nikan lori awọn olupin ti o tunto lati lo deferred_auth. Labẹ awọn ipo kan, ikọlu le fi ipa mu olupin naa lati da ifiranṣẹ PUSH_REPLY pada pẹlu data nipa awọn eto VPN ṣaaju fifiranṣẹ ifiranṣẹ AUTH_FAILED naa. Nigbati a ba ni idapo pẹlu lilo paramita --auth-gen-token tabi lilo olumulo ti ero idanimọ ti o da lori ami-ami tiwọn, ailagbara naa le ja si ẹnikan ti o ni iraye si VPN ni lilo akọọlẹ ti kii ṣiṣẹ.
Lara awọn iyipada ti kii ṣe aabo, imugboroja ti ifihan alaye wa nipa awọn apamọ TLS ti a gba fun lilo nipasẹ alabara ati olupin. Pẹlu alaye to pe nipa atilẹyin fun TLS 1.3 ati awọn iwe-ẹri EC. Ni afikun, isansa ti faili CRL pẹlu atokọ ifagile ijẹrisi lakoko ibẹrẹ OpenVPN ni a ṣe itọju bi aṣiṣe ti o yori si ifopinsi.
orisun: opennet.ru