OpenVPN 2.5.2 和 2.4.11 的修正版本已准备就绪,这是一个用于创建虚拟专用网络的软件包,允许您在两台客户端计算机之间组织加密连接,或为多个客户端的同时操作提供集中式 VPN 服务器。 OpenVPN 代码在 GPLv2 许可证下分发,为 Debian、Ubuntu、CentOS、RHEL 和 Windows 生成现成的二进制包。
新版本修复了一个漏洞 (CVE-2020-15078),该漏洞允许远程攻击者绕过身份验证和访问限制以泄露 VPN 设置。 该问题仅出现在配置为使用 deferred_auth 的服务器上。 在某些情况下,攻击者可以强制服务器在发送 AUTH_FAILED 消息之前返回包含有关 VPN 设置的数据的 PUSH_REPLY 消息。 当与 --auth-gen-token 参数的使用或用户使用自己的基于令牌的身份验证方案结合使用时,该漏洞可能会导致某人使用非工作帐户访问 VPN。
在非安全性更改中,扩展了客户端和服务器同意使用的 TLS 密码信息的显示。 包括有关 TLS 1.3 和 EC 证书支持的正确信息。 此外,OpenVPN 启动期间缺少带有证书吊销列表的 CRL 文件现在被视为导致终止的错误。
来源: opennet.ru