OpenVPN 2.5.3:sta on valmisteltu korjaava julkaisu, paketti virtuaalisten yksityisverkkojen luomiseen, jonka avulla voit järjestää salatun yhteyden kahden asiakaskoneen välille tai tarjota keskitetyn VPN-palvelimen useiden asiakkaiden samanaikaista toimintaa varten. OpenVPN-koodia jaetaan GPLv2-lisenssillä, valmiita binaaripaketteja luodaan Debianille, Ubuntulle, CentOS:lle, RHEL:lle ja Windowsille.
Uusi versio poistaa haavoittuvuuden (CVE-2021-3606), joka näkyy vain Windows-alustan koontiversiossa. Haavoittuvuus mahdollistaa OpenSSL-määritystiedostojen lataamisen kolmannen osapuolen kirjoitettavista hakemistoista salausasetusten muuttamiseksi. Uudessa versiossa OpenSSL-määritystiedostojen lataaminen on kokonaan poistettu käytöstä.
Turvallisuuteen liittymättömiin muutoksiin sisältyy "--auth-token-user" -vaihtoehdon lisääminen (samanlainen kuin "--auth-token", mutta ilman "--auth-user-pass" -toimintoa), parannettu rakennusprosessi Windowsille, parannettu tuki mbedtls-kirjastolle ja päivitetyt tekijänoikeusilmoitukset koodissa (kosmeettiset muutokset).
Lisäksi voimme huomata, että Opera on poistanut VPN:n venäläisiltä käyttäjiltä Roskomnadzorin pyynnöstä. Tällä hetkellä VPN-toiminto on lakannut toimimasta selaimen beta- ja kehittäjäversioissa. Roskomnadzor väittää, että rajoitukset ovat välttämättömiä "vastatakseen uhkiin kiertää lapsipornografian, itsemurhaan, huumeita edistävän ja muun kielletyn sisällön pääsyä koskevia rajoituksia". Opera VPN:n lisäksi esto koski myös VyprVPN-palvelua.
Aiemmin Roskomnadzor lähetti varoituksen 10 VPN-palvelulle vaatimuksella "yhteys valtion tietojärjestelmään (FSIS)" estääkseen pääsyn Venäjän federaatiossa kiellettyihin resursseihin; Opera VPN ja VyprVPN olivat joukossa. 9 palvelusta kymmenestä jätti pyynnön huomiotta tai kieltäytyi yhteistyöstä Roskomnadzorin kanssa (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Vain Kaspersky Secure Connection -tuote täytti vaatimukset.
Lähde: opennet.ru