Έχουν ετοιμαστεί διορθωτικές εκδόσεις OpenVPN 2.5.6 και 2.4.12, ένα πακέτο για τη δημιουργία εικονικών ιδιωτικών δικτύων που σας επιτρέπουν να οργανώσετε μια κρυπτογραφημένη σύνδεση μεταξύ δύο υπολογιστών-πελατών ή να παρέχετε έναν κεντρικό διακομιστή VPN για πολλούς πελάτες ταυτόχρονα. Ο κώδικας OpenVPN διανέμεται με την άδεια GPLv2, διαμορφώνονται έτοιμα δυαδικά πακέτα για Debian, Ubuntu, CentOS, RHEL και Windows.
Οι νέες εκδόσεις έχουν εξαλείψει μια ευπάθεια που θα μπορούσε ενδεχομένως να παρακάμψει τον έλεγχο ταυτότητας μέσω του χειρισμού εξωτερικών προσθηκών που υποστηρίζουν τη λειτουργία αναβολής ελέγχου ταυτότητας (deferred_auth). Το πρόβλημα παρουσιάζεται όταν πολλές προσθήκες στέλνουν καθυστερημένες αποκρίσεις ελέγχου ταυτότητας, γεγονός που επιτρέπει σε έναν εξωτερικό χρήστη να αποκτήσει πρόσβαση βάσει ατελώς σωστών διαπιστευτηρίων. Από τις εκδόσεις OpenVPN 2.5.6 και 2.4.12, οι προσπάθειες χρήσης καθυστερημένου ελέγχου ταυτότητας από πολλαπλές προσθήκες θα οδηγήσουν σε σφάλμα.
Άλλες αλλαγές περιλαμβάνουν τη συμπερίληψη μιας νέας προσθήκης sample-plugin/defer/multi-auth.c, η οποία μπορεί να είναι χρήσιμη για την οργάνωση δοκιμών της ταυτόχρονης χρήσης διαφορετικών προσθηκών ελέγχου ταυτότητας, προκειμένου να αποφευχθούν περαιτέρω τρωτά σημεία παρόμοια με αυτήν που συζητήθηκε παραπάνω. Στην πλατφόρμα Linux, λειτουργεί η επιλογή "--mtu-disc maybe|yes". Διορθώθηκε μια διαρροή μνήμης στις διαδικασίες για την προσθήκη διαδρομών.
Πηγή: opennet.ru