OpenVPN 2.5.2 和2.4.11 的修正版本已經準備就緒,這是一個用於建立虛擬專用網路的軟體包,可讓您在兩台客戶端電腦之間組織加密連接,或為多個客戶端的同時操作提供集中式VPN 伺服器。 OpenVPN 程式碼在 GPLv2 授權下分發,為 Debian、Ubuntu、CentOS、RHEL 和 Windows 產生現成的二進位套件。
新版本修復了一個漏洞 (CVE-2020-15078),該漏洞允許遠端攻擊者繞過身份驗證和存取限制以洩露 VPN 設定。 該問題僅出現在配置為使用 deferred_auth 的伺服器上。 在某些情況下,攻擊者可以強制伺服器在發送 AUTH_FAILED 訊息之前傳回包含有關 VPN 設定的資料的 PUSH_REPLY 訊息。 當與 --auth-gen-token 參數的使用或使用者使用自己的基於令牌的身份驗證方案結合使用時,該漏洞可能會導致某人使用非工作帳戶存取 VPN。
在非安全性變更中,擴展了用戶端和伺服器同意使用的 TLS 密碼資訊的顯示。 包括有關 TLS 1.3 和 EC 證書支援的正確資訊。 此外,OpenVPN 啟動期間缺少帶有憑證撤銷清單的 CRL 檔案現在被視為導致終止的錯誤。
來源: opennet.ru