Opravné verze byly připraveny OpenVPN 2.5.6 a 2.4.12, balíček pro vytváření virtuálních privátních sítí, který umožňuje organizovat šifrované spojení mezi dvěma klientskými počítači nebo poskytovat centralizovaný VPN server pro simultánní provoz několika klientů. Kód OpenVPN distribuováno pod licencí GPLv2, pro které jsou generovány hotové binární balíčky Debian, Ubuntu, CentOS, RHEL a Windows.
Nové verze řeší zranitelnost, která by mohla potenciálně umožnit obejití ověřování manipulací s externími pluginy, které podporují odložené ověřování (deferred_auth). K problému dochází, když více pluginů odesílá odpovědi s odloženým ověřováním, což umožňuje externímu uživateli získat přístup s použitím neúplných přihlašovacích údajů. Počínaje verzemi OpenVPN Pokusy o použití odloženého ověřování více pluginy ve verzích 2.5.6 a 2.4.12 povedou k chybě.
Mezi další změny patří přidání nového pluginu sample-plugin/defer/multi-auth.c, který může být užitečný pro testování současného používání různých autentizačních pluginů, aby se předešlo zranitelnostem podobným té, která byla popsána výše. Linux Byla vylepšena volba „--mtu-disc možná|ano“. Byl opraven únik paměti v procedurách přidávání tras.
Zdroj: opennet.ru
