Es wurden Korrekturversionen von OpenVPN 2.5.6 und 2.4.12 vorbereitet, einem Paket zum Erstellen virtueller privater Netzwerke, mit denen Sie eine verschlüsselte Verbindung zwischen zwei Client-Rechnern organisieren oder einen zentralen VPN-Server für mehrere Clients gleichzeitig bereitstellen können. Der OpenVPN-Code wird unter der GPLv2-Lizenz vertrieben, es werden vorgefertigte Binärpakete für Debian, Ubuntu, CentOS, RHEL und Windows erstellt.
Die neuen Versionen beheben eine Sicherheitslücke, die möglicherweise die Umgehung der Authentifizierung durch Manipulation externer Plugins ermöglicht, die den verzögerten Authentifizierungsmodus (deferred_auth) unterstützen. Das Problem tritt auf, wenn mehrere Plugins verzögerte Authentifizierungsantworten senden, wodurch ein externer Benutzer mit unvollständigen Anmeldeinformationen Zugriff erhält. Ab OpenVPN 2.5.6 und 2.4.12 führen Versuche, die verzögerte Authentifizierung durch mehrere Plugins zu verwenden, zu einem Fehler.
Zu den weiteren Änderungen gehört die Integration des neuen Plugins sample-plugin/defer/multi-auth.c. Dieses kann nützlich sein, um die gleichzeitige Verwendung verschiedener Authentifizierungs-Plugins zu testen und so Schwachstellen wie die oben beschriebene zu vermeiden. Die Option "--mtu-disc maybe|yes" wurde auf der Linux-Plattform korrigiert. Ein Speicherleck in den Routen-Additionsverfahren wurde behoben.
Source: opennet.ru
