Pripremljeno je korektivno izdanje OpenVPN 2.5.3, paketa za kreiranje virtuelnih privatnih mreža koji vam omogućava da organizujete šifrovanu vezu između dve klijentske mašine ili obezbedite centralizovani VPN server za istovremeni rad više klijenata. OpenVPN kod se distribuira pod GPLv2 licencom, generirani su gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.
Nova verzija eliminiše ranjivost (CVE-2021-3606), koja se pojavljuje samo u verziji za Windows platformu. Ranjivost omogućava učitavanje OpenSSL konfiguracijskih datoteka iz direktorija trećih strana za upisivanje radi promjene postavki šifriranja. U novoj verziji, učitavanje OpenSSL konfiguracijskih datoteka je potpuno onemogućeno.
Nesigurnosne promjene uključuju dodavanje opcije “--auth-token-user” (slično kao “--auth-token”, ali bez korištenja “--auth-user-pass”), poboljšani proces izgradnje za Windows, poboljšana podrška za mbedtls biblioteku i ažurirane obavijesti o autorskim pravima u kodu (kozmetičke promjene).
Osim toga, možemo primijetiti da je Opera onemogućila svoj VPN za ruske korisnike na zahtjev Roskomnadzora. Trenutno je VPN funkcionalnost prestala raditi u beta i programerskim verzijama preglednika. Roskomnadzor tvrdi da su ograničenja neophodna kako bi se "odgovorilo na prijetnje zaobilaženjem ograničenja pristupa dječjoj pornografiji, samoubilačkom sadržaju, sadržaju koji promiče droge i drugom zabranjenom sadržaju". Pored Opera VPN-a, blokiranje je primijenjeno i na servis VyprVPN.
Ranije je Roskomnadzor poslao upozorenje za 10 VPN servisa sa zahtjevom da se "poveže na državni informacioni sistem (FSIS)" kako bi blokirali pristup resursima zabranjenim u Ruskoj Federaciji; među njima su bili Opera VPN i VyprVPN. 9 od 10 servisa je ignorisalo zahtjev ili je odbilo suradnju s Roskomnadzorom (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Samo Kaspersky Secure Connection proizvod je ispunio zahteve.
izvor: opennet.ru