Preparáronse as versións correctoras de OpenVPN 2.5.6 e 2.4.12, un paquete para a creación de redes privadas virtuais que permite organizar unha conexión cifrada entre dúas máquinas cliente ou proporcionar un servidor VPN centralizado para o funcionamento simultáneo de varios clientes. O código OpenVPN distribúese baixo a licenza GPLv2, xéranse paquetes binarios preparados para Debian, Ubuntu, CentOS, RHEL e Windows.
As novas versións eliminaron unha vulnerabilidade que podería evitar a autenticación mediante a manipulación de complementos externos que admiten o modo de autenticación diferida (deferred_auth). O problema ocorre cando varios complementos envían respostas de autenticación atrasadas, o que permite que un usuario externo acceda en base a credenciais incompletas. A partir de OpenVPN 2.5.6 e 2.4.12, os intentos de usar a autenticación atrasada por varios complementos producirán un erro.
Outros cambios inclúen a inclusión dun novo complemento sample-plugin/defer/multi-auth.c, que pode ser útil para organizar as probas do uso simultáneo de diferentes complementos de autenticación para evitar aínda máis vulnerabilidades similares á comentada anteriormente. Na plataforma Linux, a opción "--mtu-disc maybe|yes" funciona. Corrixiuse unha fuga de memoria nos procedementos para engadir rutas.
Fonte: opennet.ru