Pripremljena su korektivna izdanja OpenVPN 2.5.6 i 2.4.12, paketa za kreiranje virtuelnih privatnih mreža koji vam omogućavaju da organizujete šifrovanu vezu između dve klijentske mašine ili da obezbedite centralizovani VPN server za više klijenata istovremeno. OpenVPN kod se distribuira pod GPLv2 licencom, formiraju se gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.
Nove verzije su eliminisale ranjivost koja bi potencijalno mogla zaobići autentifikaciju kroz manipulaciju vanjskim dodacima koji podržavaju način odgođene provjere autentičnosti (deferred_auth). Problem se javlja kada nekoliko dodataka šalje odgođene odgovore na autentifikaciju, što omogućava vanjskom korisniku da dobije pristup na osnovu nepotpuno ispravnih vjerodajnica. Od OpenVPN 2.5.6 i 2.4.12, pokušaji korištenja odgođene provjere autentičnosti od strane više dodataka rezultirat će greškom.
Ostale promjene uključuju uključivanje novog dodatka sample-plugin/defer/multi-auth.c, koji može biti koristan za organiziranje testiranja istovremene upotrebe različitih dodataka za autentifikaciju kako bi se dalje izbjegle ranjivosti slične onoj o kojoj se raspravljalo gore. Na Linux platformi, opcija “--mtu-disc možda|da” radi. Popravljeno je curenje memorije u procedurama za dodavanje ruta.
izvor: opennet.ru