Se ha preparado una versión correctiva de OpenVPN 2.5.3, un paquete para crear redes privadas virtuales que permite organizar una conexión cifrada entre dos máquinas cliente o proporcionar un servidor VPN centralizado para el funcionamiento simultáneo de varios clientes. El código OpenVPN se distribuye bajo la licencia GPLv2, se generan paquetes binarios listos para usar para Debian, Ubuntu, CentOS, RHEL y Windows.
La nueva versión elimina la vulnerabilidad (CVE-2021-3606), que solo aparece en la compilación para la plataforma Windows. La vulnerabilidad permite la carga de archivos de configuración OpenSSL desde directorios grabables de terceros para cambiar la configuración de cifrado. En la nueva versión, la carga de archivos de configuración OpenSSL está completamente deshabilitada.
Los cambios no relacionados con la seguridad incluyen la adición de la opción “--auth-token-user” (similar a “--auth-token”, pero sin usar “--auth-user-pass”), proceso de compilación mejorado para Windows, soporte mejorado para la biblioteca mbedtls y avisos de derechos de autor actualizados en el código (cambios cosméticos).
Además, podemos señalar que Opera ha desactivado su VPN para usuarios rusos a petición de Roskomnadzor. Por el momento, la funcionalidad VPN ha dejado de funcionar en las versiones beta y de desarrollador del navegador. Roskomnadzor sostiene que las restricciones son necesarias para “responder a las amenazas de eludir las restricciones de acceso a pornografía infantil, contenidos suicidas, prodrogas y otros contenidos prohibidos”. Además de Opera VPN, el bloqueo también se aplicó al servicio VyprVPN.
Anteriormente, Roskomnadzor envió una advertencia a 10 servicios VPN con el requisito de "conectarse al sistema de información estatal (FSIS)" para bloquear el acceso a recursos prohibidos en la Federación Rusa; Opera VPN y VyprVPN estaban entre ellos. 9 de cada 10 servicios ignoraron la solicitud o se negaron a cooperar con Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Sólo el producto Kaspersky Secure Connection cumplió con los requisitos.
Fuente: opennet.ru