Se han preparado versiones correctivas de OpenVPN 2.5.6 y 2.4.12, un paquete para crear redes privadas virtuales que le permiten organizar una conexión encriptada entre dos máquinas cliente o proporcionar un servidor VPN centralizado para múltiples clientes al mismo tiempo. El código OpenVPN se distribuye bajo la licencia GPLv2, se forman paquetes binarios listos para usar para Debian, Ubuntu, CentOS, RHEL y Windows.
Las nuevas versiones han eliminado una vulnerabilidad que podría potencialmente eludir la autenticación mediante la manipulación de complementos externos que admiten el modo de autenticación diferida (deferred_auth). El problema ocurre cuando varios complementos envían respuestas de autenticación retrasadas, lo que permite que un usuario externo obtenga acceso basándose en credenciales no completamente correctas. A partir de OpenVPN 2.5.6 y 2.4.12, los intentos de utilizar la autenticación retrasada mediante varios complementos generarán un error.
Otros cambios incluyen la inclusión de un nuevo complemento sample-plugin/defer/multi-auth.c, que puede ser útil para organizar las pruebas del uso simultáneo de diferentes complementos de autenticación para evitar vulnerabilidades similares a la discutida anteriormente. En la plataforma Linux, la opción “--mtu-disc may|yes” funciona. Se corrigió una pérdida de memoria en los procedimientos para agregar rutas.
Fuente: opennet.ru