Une version corrective d'OpenVPN 2.5.3 a été préparée, un package de création de réseaux privés virtuels qui permet d'organiser une connexion cryptée entre deux machines clientes ou de fournir un serveur VPN centralisé pour le fonctionnement simultané de plusieurs clients. Le code OpenVPN est distribué sous licence GPLv2, des packages binaires prêts à l'emploi sont générés pour Debian, Ubuntu, CentOS, RHEL et Windows.
La nouvelle version élimine la vulnérabilité (CVE-2021-3606), qui n'apparaît que dans la version pour la plateforme Windows. La vulnérabilité permet le chargement de fichiers de configuration OpenSSL à partir de répertoires tiers inscriptibles pour modifier les paramètres de chiffrement. Dans la nouvelle version, le chargement des fichiers de configuration OpenSSL est complètement désactivé.
Les modifications non liées à la sécurité incluent l'ajout de l'option « --auth-token-user » (similaire à « --auth-token », mais sans utiliser « --auth-user-pass »), un processus de construction amélioré pour Windows, prise en charge améliorée de la bibliothèque mbedtls et mise à jour des avis de droits d'auteur dans le code (modifications esthétiques).
De plus, on peut noter qu'Opera a désactivé son VPN pour les utilisateurs russes à la demande de Roskomnadzor. Pour le moment, la fonctionnalité VPN ne fonctionne plus dans les versions bêta et développeur du navigateur. Roskomnadzor affirme que les restrictions sont nécessaires pour « répondre aux menaces de contournement des restrictions sur l’accès à la pédopornographie, aux contenus suicidaires, pro-drogues et autres contenus interdits ». Outre Opera VPN, le blocage a également été appliqué au service VyprVPN.
Auparavant, Roskomnadzor avait envoyé un avertissement à 10 services VPN avec l'obligation de « se connecter au système d'information de l'État (FSIS) » pour bloquer l'accès aux ressources interdites dans la Fédération de Russie ; parmi eux Opera VPN et VyprVPN. 9 services sur 10 ont ignoré la demande ou ont refusé de coopérer avec Roskomnadzor (NordVPN, Hide My Ass !, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Seul le produit Kaspersky Secure Connection répondait aux exigences.
Source: opennet.ru