Byly připraveny opravné verze OpenVPN 2.5.6 a 2.4.12, balíčku pro vytváření virtuálních privátních sítí, které umožňují organizovat šifrované spojení mezi dvěma klientskými stroji nebo poskytovat centralizovaný VPN server pro více klientů současně. Kód OpenVPN je distribuován pod licencí GPLv2, jsou vytvořeny hotové binární balíčky pro Debian, Ubuntu, CentOS, RHEL a Windows.
Nové verze eliminovaly zranitelnost, která by mohla potenciálně obejít autentizaci manipulací s externími pluginy, které podporují režim odložené autentizace (deferred_auth). Problém nastane, když několik zásuvných modulů odešle zpožděné ověřovací odpovědi, což umožňuje externímu uživateli získat přístup na základě neúplně správných přihlašovacích údajů. Od OpenVPN 2.5.6 a 2.4.12 budou mít pokusy o použití zpožděné autentizace více pluginy za následek chybu.
Mezi další změny patří zahrnutí nového pluginu sample-plugin/defer/multi-auth.c, který může být užitečný pro testování současného použití různých autentizačních pluginů, aby se dále vyhnulo zranitelnostem podobným té, která byla diskutována výše. Na platformě Linux funguje možnost „--mtu-disc možná|yes“. Opraven únik paměti v procedurách přidávání tras.
Zdroj: opennet.ru