تم إعداد الإصدارات التصحيحية من OpenVPN 2.5.6 و 2.4.12 ، وهي حزمة لإنشاء شبكات افتراضية خاصة تسمح لك بتنظيم اتصال مشفر بين جهازي عميل أو توفير خادم VPN مركزي لعدة عملاء في نفس الوقت. يتم توزيع كود OpenVPN بموجب ترخيص GPLv2 ، ويتم تشكيل حزم ثنائية جاهزة لـ Debian و Ubuntu و CentOS و RHEL و Windows.
تخلصت الإصدارات الجديدة من الثغرة الأمنية التي من المحتمل أن تتجاوز المصادقة من خلال معالجة المكونات الإضافية الخارجية التي تدعم وضع المصادقة المؤجلة (deferred_auth). تحدث المشكلة عندما ترسل عدة مكونات إضافية استجابات مصادقة متأخرة، مما يسمح لمستخدم خارجي بالوصول بناءً على بيانات اعتماد صحيحة غير كاملة. اعتبارًا من OpenVPN 2.5.6 و2.4.12، ستؤدي محاولات استخدام المصادقة المؤجلة بواسطة مكونات إضافية متعددة إلى حدوث خطأ.
تتضمن التغييرات الأخرى تضمين مكون إضافي جديد Sample-plugin/defer/multi-auth.c، والذي يمكن أن يكون مفيدًا لتنظيم اختبار الاستخدام المتزامن لمكونات إضافية مختلفة للمصادقة من أجل تجنب المزيد من الثغرات الأمنية المشابهة لتلك التي تمت مناقشتها أعلاه. على نظام التشغيل Linux، يعمل خيار "--mtu-disc ربما | نعم". تم إصلاح تسرب الذاكرة في إجراءات إضافة المسارات.
المصدر: opennet.ru