Es wurde eine Korrekturversion von OpenVPN 2.5.3 vorbereitet, einem Paket zum Aufbau virtueller privater Netzwerke, mit dem Sie eine verschlüsselte Verbindung zwischen zwei Client-Rechnern organisieren oder einen zentralen VPN-Server für den gleichzeitigen Betrieb mehrerer Clients bereitstellen können. Der OpenVPN-Code wird unter der GPLv2-Lizenz vertrieben, es werden fertige Binärpakete für Debian, Ubuntu, CentOS, RHEL und Windows generiert.
Die neue Version beseitigt die Schwachstelle (CVE-2021-3606), die nur im Build für die Windows-Plattform auftritt. Die Sicherheitslücke ermöglicht das Laden von OpenSSL-Konfigurationsdateien aus beschreibbaren Verzeichnissen Dritter, um Verschlüsselungseinstellungen zu ändern. In der neuen Version ist das Laden von OpenSSL-Konfigurationsdateien vollständig deaktiviert.
Zu den nicht sicherheitsrelevanten Änderungen gehören das Hinzufügen der Option „--auth-token-user“ (ähnlich wie „--auth-token“, jedoch ohne Verwendung von „--auth-user-pass“), ein verbesserter Build-Prozess für Windows, verbesserte Unterstützung für die mbedtls-Bibliothek und aktualisierte Urheberrechtshinweise im Code (kosmetische Änderungen).
Darüber hinaus können wir feststellen, dass Opera auf Wunsch von Roskomnadzor sein VPN für russische Benutzer deaktiviert hat. Derzeit funktioniert die VPN-Funktionalität in Beta- und Entwicklerversionen des Browsers nicht mehr. Roskomnadzor argumentiert, dass die Beschränkungen notwendig seien, um „auf Drohungen zu reagieren, Beschränkungen des Zugangs zu kinderpornografischen, selbstmörderischen, drogenfreundlichen und anderen verbotenen Inhalten zu umgehen.“ Neben Opera VPN wurde die Sperrung auch auf den VyprVPN-Dienst angewendet.
Zuvor hat Roskomnadzor eine Warnung an 10 VPN-Dienste mit der Anforderung verschickt, „eine Verbindung zum staatlichen Informationssystem (FSIS)“ herzustellen, um den Zugriff auf in der Russischen Föderation verbotene Ressourcen zu blockieren; darunter Opera VPN und VyprVPN. 9 von 10 Diensten ignorierten die Anfrage oder weigerten sich, mit Roskomnadzor zusammenzuarbeiten (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Nur das Produkt Kaspersky Secure Connection erfüllte die Anforderungen.
Source: opennet.ru