Des versions correctives d'OpenVPN 2.5.6 et 2.4.12, un package de création de réseaux privés virtuels permettant d'organiser une connexion cryptée entre deux machines clientes ou de fournir un serveur VPN centralisé pour plusieurs clients en même temps, ont été préparées. Le code OpenVPN est distribué sous la licence GPLv2, des packages binaires prêts à l'emploi sont formés pour Debian, Ubuntu, CentOS, RHEL et Windows.
Les nouvelles versions ont éliminé une vulnérabilité qui pourrait potentiellement contourner l'authentification via la manipulation de plugins externes prenant en charge le mode d'authentification différé (deferred_auth). Le problème se produit lorsque plusieurs plugins envoient des réponses d'authentification retardées, ce qui permet à un utilisateur externe d'accéder sur la base d'informations d'identification incomplètement correctes. Depuis OpenVPN 2.5.6 et 2.4.12, les tentatives d'utilisation de l'authentification différée par plusieurs plugins entraîneront une erreur.
D'autres changements incluent l'inclusion d'un nouveau plugin sample-plugin/defer/multi-auth.c, qui peut être utile pour tester l'utilisation simultanée de différents plugins d'authentification afin d'éviter davantage les vulnérabilités similaires à celle évoquée ci-dessus. Sur la plateforme Linux, l'option « --mtu-disc peut-être|oui » fonctionne. Correction d'une fuite de mémoire dans les procédures d'ajout de routes.
Source: opennet.ru