نسخههای اصلاحی آماده شدهاند OpenVPN ۲.۵.۶ و ۲.۴.۱۲، بستهای برای ایجاد شبکههای خصوصی مجازی که به شما امکان میدهد یک اتصال رمزگذاری شده بین دو دستگاه کلاینت ترتیب دهید یا یک سرور VPN متمرکز برای عملکرد همزمان چندین کلاینت فراهم کنید. کد OpenVPN تحت مجوز GPLv2 توزیع شده است، بستههای باینری آماده برای ... تولید میشوند. Debian, Ubuntu, CentOS، RHEL و Windows.
نسخههای جدید، آسیبپذیریای را برطرف میکنند که میتواند با دستکاری افزونههای خارجی که از احراز هویت معوق (deferred_auth) پشتیبانی میکنند، امکان دور زدن احراز هویت را فراهم کند. این مشکل زمانی رخ میدهد که چندین افزونه پاسخهای احراز هویت معوق ارسال میکنند و به یک کاربر خارجی اجازه میدهند با استفاده از اعتبارنامههای ناقص به سیستم دسترسی پیدا کند. شروع با انتشارها OpenVPN تلاشهای نسخههای ۲.۵.۶ و ۲.۴.۱۲ برای استفاده از احراز هویت معوق توسط چندین افزونه منجر به خطا خواهد شد.
از دیگر تغییرات میتوان به گنجاندن افزونهی جدید sample-plugin/defer/multi-auth.c اشاره کرد که میتواند برای آزمایش استفادهی همزمان از افزونههای احراز هویت مختلف مفید باشد تا از آسیبپذیریهایی مشابه آنچه در بالا مورد بحث قرار گرفت، جلوگیری شود. Linux گزینهی «--mtu-disc maybe|yes» بهبود یافته است. مشکل نشت حافظه در رویههای اضافه کردن مسیر برطرف شده است.
منبع: opennet.ru
