Oni preparis korektajn eldonojn de OpenVPN 2.5.6 kaj 2.4.12, pako por krei virtualajn privatajn retojn, kiuj ebligas organizi ĉifritan konekton inter du klientmaŝinoj aŭ provizi centralizitan VPN-servilon por pluraj klientoj samtempe. La OpenVPN-kodo estas distribuita sub la permesilo GPLv2, pretaj binaraj pakaĵoj estas formitaj por Debian, Ubuntu, CentOS, RHEL kaj Vindozo.
Novaj versioj forigis vundeblecon, kiu eble povus preterpasi aŭtentikigon per manipulado de eksteraj kromprogramoj, kiuj subtenas prokrastan aŭtentikigreĝimon (deferred_auth). La problemo okazas kiam pluraj kromprogramoj sendas malfruajn aŭtentigajn respondojn, kio permesas al ekstera uzanto akiri aliron surbaze de nekomplete ĝustaj akreditaĵoj. Ekde OpenVPN 2.5.6 kaj 2.4.12, provoj uzi malfruan aŭtentikigon de pluraj kromprogramoj rezultigos eraron.
Aliaj ŝanĝoj inkluzivas la inkludon de nova kromaĵo sample-plugin/defer/multi-auth.c, kiu povas esti utila por organizi testadon de la samtempa uzo de malsamaj aŭtentikigkromaĵoj por plue eviti vundeblecojn similajn al tiu ĉi supre diskutita. Sur la Linukso platformo, la opcio "--mtu-disc maybe|yes" funkcias. Riparita memorfuko en la proceduroj por aldoni itinerojn.
fonto: opennet.ru