Veröffentlichung von OpenVPN 2.5.6 und 2.4.12 zur Behebung einer Sicherheitsanfälligkeit

Die Korrekturversionen OpenVPN 2.5.6 und 2.4.12 wurden veröffentlicht. Diese Pakete für die Erstellung virtueller privater Netzwerke ermöglichen eine verschlüsselte Verbindung zwischen zwei Client-Geräten oder den Betrieb eines zentralen VPN-Servers, um mehreren Clients gleichzeitig zu unterstützen. Der OpenVPN-Code wird unter der GPLv2-Lizenz verteilt, und fertige Binärpakete werden für Debian, Ubuntu, CentOS, RHEL und Windows bereitgestellt.

In den neuen Versionen wurde eine Schwachstelle behoben, die potenziell eine Umgehung der Authentifizierung durch Manipulation externer Plugins ermöglichte, die den Modus der verzögerten Authentifizierung (deferred_auth) unterstützen. Das Problem tritt auf, wenn mehrere Plugins verzögerte Authentifizierungsantworten senden, was einem externen Benutzer den Zugriff auf der Grundlage nicht vollständig korrekter Anmeldedaten ermöglicht. Ab den Versionen OpenVPN 2.5.6 und 2.4.12 führen Versuche, verzögerte Authentifizierung durch mehrere Plugins zu verwenden, zu einer Fehlermeldung.

Eine der anderen Änderungen ist die Integration des neuen Plugins sample-plugin/defer/multi-auth.c, das für die Durchführung von Tests zur gleichzeitigen Nutzung verschiedener Authentifizierungs-Plugins nützlich sein kann, um zukünftige Sicherheitsanfälligkeiten wie die oben besprochene zu vermeiden. Auf der Linux-Plattform wurde die Option "—mtu-disc maybe|yes" erfolgreich implementiert. Zudem wurde ein Speicherleck in den Routenhinzufügungsverfahren behoben.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster