Pripremljeno je korektivno izdanje OpenVPN 2.5.3, paketa za stvaranje virtualnih privatnih mreža koji vam omogućuje organiziranje kriptirane veze između dva klijentska računala ili pružanje centraliziranog VPN poslužitelja za istovremeni rad nekoliko klijenata. OpenVPN kod se distribuira pod licencom GPLv2, generiraju se gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.
Nova verzija uklanja ranjivost (CVE-2021-3606), koja se pojavljuje samo u međugradnji za Windows platformu. Ranjivost dopušta učitavanje OpenSSL konfiguracijskih datoteka iz direktorija trećih strana koji mogu pisati kako bi se promijenile postavke enkripcije. U novoj verziji učitavanje OpenSSL konfiguracijskih datoteka potpuno je onemogućeno.
Promjene koje nisu sigurnosne uključuju dodavanje opcije “--auth-token-user” (slično “--auth-token”, ali bez upotrebe “--auth-user-pass”), poboljšani proces izgradnje za Windows, poboljšana podrška za knjižnicu mbedtls i ažurirane obavijesti o autorskim pravima u kodu (kozmetičke promjene).
Dodatno, možemo primijetiti da je Opera onemogućila svoj VPN za ruske korisnike na zahtjev Roskomnadzora. Trenutačno je VPN funkcionalnost prestala raditi u beta i razvojnim verzijama preglednika. Roskomnadzor tvrdi da su ograničenja neophodna kako bi se "odgovorilo na prijetnje zaobilaženja ograničenja pristupa dječjoj pornografiji, suicidalnim sadržajima, pro-drogama i drugim zabranjenim sadržajima". Osim Opera VPN-a, blokada je primijenjena i na uslugu VyprVPN.
Prethodno je Roskomnadzor poslao upozorenje na 10 VPN servisa sa zahtjevom da se "povežu na državni informacijski sustav (FSIS)" kako bi blokirali pristup resursima koji su zabranjeni u Ruskoj Federaciji; Opera VPN i VyprVPN bili su među njima. 9 od 10 usluga ignoriralo je zahtjev ili odbilo suradnju s Roskomnadzorom (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Samo je proizvod Kaspersky Secure Connection zadovoljio zahtjeve.
Izvor: opennet.ru