Korrektiewe vrystellings van OpenVPN 2.5.6 en 2.4.12, 'n pakket vir die skep van virtuele privaat netwerke wat jou toelaat om 'n geënkripteerde verbinding tussen twee kliëntmasjiene te organiseer of 'n gesentraliseerde VPN-bediener vir verskeie kliënte op dieselfde tyd te verskaf, is voorberei. Die OpenVPN-kode word onder die GPLv2-lisensie versprei, klaargemaakte binêre pakkette word gevorm vir Debian, Ubuntu, CentOS, RHEL en Windows.
Nuwe weergawes het 'n kwesbaarheid uitgeskakel wat moontlik verifikasie kan omseil deur manipulasie van eksterne inproppe wat uitgestelde verifikasiemodus ondersteun (deferred_auth). Die probleem kom voor wanneer verskeie inproppe vertraagde verifikasie-antwoorde stuur, wat 'n eksterne gebruiker toelaat om toegang te verkry op grond van onvolledig korrekte geloofsbriewe. Vanaf OpenVPN 2.5.6 en 2.4.12 sal pogings om vertraagde verifikasie deur veelvuldige inproppe te gebruik, 'n fout tot gevolg hê.
Ander veranderinge sluit in die insluiting van 'n nuwe plugin sample-plugin/defer/multi-auth.c, wat nuttig kan wees vir die organisering van toetsing van die gelyktydige gebruik van verskillende verifikasie-inproppe om kwesbaarhede soortgelyk aan die een wat hierbo bespreek is verder te vermy. Op die Linux-platform werk die "--mtu-disc miskien|ja" opsie. Het 'n geheuelek in die prosedures vir die byvoeging van roetes reggestel.
Bron: opennet.ru