En korrigerende udgivelse af OpenVPN 2.5.3 er blevet udarbejdet, en pakke til at skabe virtuelle private netværk, der giver dig mulighed for at organisere en krypteret forbindelse mellem to klientmaskiner eller levere en centraliseret VPN-server til samtidig drift af flere klienter. OpenVPN-koden distribueres under GPLv2-licensen, færdige binære pakker genereres til Debian, Ubuntu, CentOS, RHEL og Windows.
Den nye version eliminerer sårbarheden (CVE-2021-3606), som kun vises i buildet til Windows-platformen. Sårbarheden tillader indlæsning af OpenSSL-konfigurationsfiler fra tredjeparts skrivbare mapper for at ændre krypteringsindstillinger. I den nye version er indlæsning af OpenSSL-konfigurationsfiler fuldstændigt deaktiveret.
Ikke-sikkerhedsændringer inkluderer tilføjelsen af "--auth-token-user"-indstillingen (svarende til "--auth-token", men uden brug af "--auth-user-pass"), forbedret byggeproces til Windows, forbedret understøttelse af mbedtls-biblioteket og opdaterede copyright-meddelelser i kode (kosmetiske ændringer).
Derudover kan vi bemærke, at Opera har deaktiveret sin VPN for russiske brugere på anmodning fra Roskomnadzor. I øjeblikket er VPN-funktionalitet holdt op med at virke i beta- og udviklerversioner af browseren. Roskomnadzor hævder, at restriktionerne er nødvendige for at "reagere på trusler om at omgå begrænsninger for adgang til børnepornografi, selvmord, pro-drug og andet forbudt indhold." Ud over Opera VPN blev blokeringen også anvendt på VyprVPN-tjenesten.
Tidligere udsendte Roskomnadzor en advarsel til 10 VPN-tjenester med kravet om at "oprette forbindelse til statsinformationssystemet (FSIS)" for at blokere adgang til ressourcer forbudt i Den Russiske Føderation; Opera VPN og VyprVPN var blandt dem. 9 ud af 10 tjenester ignorerede anmodningen eller nægtede at samarbejde med Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Kun Kaspersky Secure Connection-produktet opfyldte kravene.
Kilde: opennet.ru