Падрыхтаваны карэкціруючыя выпускі OpenVPN 2.5.6 і 2.4.12, пакета для стварэння віртуальных прыватных сетак, які дазваляе арганізаваць шыфраванае злучэнне паміж двума кліенцкімі машынамі або забяспечыць працу цэнтралізаванага VPN-сервера для адначасовай працы некалькіх кліентаў. Код OpenVPN распаўсюджваецца пад ліцэнзіяй GPLv2, гатовыя бінарныя пакеты фармуюцца для Debian, Ubuntu, CentOS, RHEL і Windows.
У новых версіях ухіленая ўразлівасць, патэнцыйна якая дазваляе абыйсці аўтэнтыфікацыю праз маніпуляцыю з вонкавымі плагінамі, якія падтрымліваюць рэжым адкладзенай аўтэнтыфікацыі (deferred_auth). Праблема ўзнікае калі некалькі плагінаў адпраўляюць адкладзеныя адказы аўтэнтыфікацыі, што дазваляе вонкаваму карыстачу атрымаць доступ на аснове не цалкам карэктных уліковых дадзеных. Пачынальна з выпускаў OpenVPN 2.5.6 і 2.4.12 спробы выкарыстання адкладзенай аўтэнтыфікацыі некалькімі плагінамі будуць прыводзіць да высновы памылкі.
З іншых змен можна адзначыць уключэнне ў склад новай убудовы sample-plugin/defer/multi-auth.c, які можа быць карысны для арганізацыі тэставання адначасовага выкарыстання розных убудоў аўтэнтыфікацыі, каб у далейшым пазбегнуць уразлівасцяў, падобных той, што была разгледжана вышэй. На платформе Linux наладжана праца опцыі "-mtu-disc maybe|yes". Ухілена ўцечка памяці ў працэдурах дадання маршрутаў.
Крыніца: opennet.ru