Byla připravena opravná verze OpenVPN 2.5.3, balíčku pro vytváření virtuálních privátních sítí, který umožňuje organizovat šifrované spojení mezi dvěma klientskými stroji nebo poskytovat centralizovaný VPN server pro současný provoz několika klientů. Kód OpenVPN je distribuován pod licencí GPLv2, jsou generovány hotové binární balíčky pro Debian, Ubuntu, CentOS, RHEL a Windows.
Nová verze odstraňuje zranitelnost (CVE-2021-3606), která se objevuje pouze v sestavení pro platformu Windows. Tato chyba zabezpečení umožňuje načítání konfiguračních souborů OpenSSL z zapisovatelných adresářů třetích stran za účelem změny nastavení šifrování. V nové verzi je načítání konfiguračních souborů OpenSSL zcela zakázáno.
Změny nesouvisející se zabezpečením zahrnují přidání možnosti „--auth-token-user“ (podobně jako „--auth-token“, ale bez použití „--auth-user-pass“), vylepšený proces sestavování pro Windows, vylepšená podpora pro knihovnu mbedtls a aktualizovaná upozornění na autorská práva v kódu (kosmetické změny).
Navíc můžeme poznamenat, že Opera deaktivovala svou VPN pro ruské uživatele na žádost Roskomnadzor. V tuto chvíli přestala fungovat funkce VPN v beta a vývojářských verzích prohlížeče. Roskomnadzor tvrdí, že omezení jsou nezbytná k „reakci na hrozby obcházení omezení přístupu k dětské pornografii, sebevražednému, prodrogovému a jinému zakázanému obsahu“. Kromě Opery VPN bylo blokování aplikováno také na službu VyprVPN.
Dříve Roskomnadzor rozeslal varování 10 VPN službám s požadavkem „připojit se ke státnímu informačnímu systému (FSIS)“, aby zablokoval přístup ke zdrojům zakázaným v Ruské federaci; byly mezi nimi Opera VPN a VyprVPN. 9 z 10 služeb ignorovalo požadavek nebo odmítlo spolupracovat s Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Požadavky splňoval pouze produkt Kaspersky Secure Connection.
Zdroj: opennet.ru