Подготовлен корректирующий выпуск OpenVPN 2.5.3, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.
В новой версии устранена уязвимость (CVE-2021-3606), проявляющаяся только в сборке для платформы Windows. Уязвимость позволяет организовать загрузку файлов конфигурации OpenSSL из сторонних каталогов, доступных на запись, для изменения настроек шифрования. В новой версии загрузка файлов конфигурации OpenSSL полностью отключена.
Из не связанных с безопасностью изменений отмечается добавление опции «—auth-token-user» (аналог «—auth-token», но без применения «—auth-user-pass»), улучшение процесса сборки для Windows, улучшение поддержки библиотеки mbedtls и обновление примечаний об авторских правах в коде (косметические изменения).
Дополнительно можно отметить отключение компанией Opera своего VPN для российских пользователей по требованию Роскомнадзора. На данный момент функциональность VPN перестала работать в beta- и developer-версиях браузера. Роскомнадзор утверждает, что ограничения необходимы для «реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту». Кроме Opera VPN блокировка также применена к сервису VyprVPN.
Ранее Роскомнадзор рассылал предупреждение 10 VPN-сервисам с требованием «подключения к государственной информационной системе (ФГИС)» для блокировки доступа к запрещённым в РФ ресурсам, Opera VPN и VyprVPN были в их числе. 9 из 10 сервисов требование проигнорировали или отказались сотрудничать c Роскомнадзором (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Выполнил требования только продукт Kaspersky Secure Connection.
Крыніца: opennet.ru