S'han preparat versions correctives d'OpenVPN 2.5.6 i 2.4.12, un paquet per crear xarxes privades virtuals que permeten organitzar una connexió xifrada entre dues màquines client o proporcionar un servidor VPN centralitzat per a diversos clients alhora. El codi OpenVPN es distribueix sota la llicència GPLv2, es formen paquets binaris preparats per a Debian, Ubuntu, CentOS, RHEL i Windows.
Les noves versions han eliminat una vulnerabilitat que podria evitar l'autenticació mitjançant la manipulació de connectors externs que admeten el mode d'autenticació diferit (deferred_auth). El problema es produeix quan diversos connectors envien respostes d'autenticació retardades, cosa que permet que un usuari extern tingui accés basant-se en credencials incompletes. A partir d'OpenVPN 2.5.6 i 2.4.12, els intents d'utilitzar l'autenticació retardada per part de diversos connectors donaran lloc a un error.
Altres canvis inclouen la inclusió d'un nou connector sample-plugin/defer/multi-auth.c, que pot ser útil per organitzar proves de l'ús simultània de diferents connectors d'autenticació per tal d'evitar encara més vulnerabilitats semblants a la comentada anteriorment. A la plataforma Linux, l'opció "--mtu-disc maybe|yes" funciona. S'ha solucionat una fuga de memòria en els procediments per afegir rutes.
Font: opennet.ru