Прошу собрать версию старше 2.5.7, https://nvd.nist.gov/vuln/detail/CVE-2020-7224
Там речь идет о Aviatrix OpenVPN client, это какая-то альтернативная реализация клиента, насколько я понимаю. В нашем же openvpn я вижу только CVE-2020-11810, исправленную в 2.4.9. Сейчас у нас 2.4.7, текущий апстримный релиз 2.5.0, но для его сборки надо переделывать gear-репозиторий, он собирается из другого git-бранча и так просто это не замержить. Если naf@ быстро не ответит, то предлагаю пока обновить до 2.4.9, а далее уже мантейнер разберется со сборкой 2.5.0.
(Ответ для Mikhail Efremov на комментарий #1) > Если naf@ быстро не ответит, то предлагаю пока обновить до 2.4.9, а далее > уже мантейнер разберется со сборкой 2.5.0. Да, конечно.
CVE-2020-7224 относится к Aviatrix Cloud Network Platform (https://aviatrix.com/), коммерческому решению для построение частных облаков под Microsoft Azure. Указанная в CVE версия 2.5.7 - это версия Aviatrix Cloud Network Platform, а не OpenVPN. Сама уязвимость относится к конфигурации Aviatrix Cloud Network Platform, а не используемого в платформе сервера OpenVPN. Упоминавшийся CVE-2020-11810 - это возможность отключения от сервера одним авторизованным клиентом другого в момент обновления вторым параметров своей сессии. 2.4.9-alt1 в Sisyphus ушёл, см. #39122 .
Николай, спасибо!
