Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali.
Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.
VEDI sito web OpenVPN
Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810
Vedi sito web MITRE
Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database).
A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis)
Vedi sito web Slackware