Pripremljena su ispravna izdanja OpenVPN 2.5.6 i 2.4.12, paketa za stvaranje virtualnih privatnih mreža koji vam omogućuje organiziranje šifrirane veze između dva klijentska računala ili pružanje centraliziranog VPN poslužitelja za istovremeni rad nekoliko klijenata. OpenVPN kod se distribuira pod licencom GPLv2, generiraju se gotovi binarni paketi za Debian, Ubuntu, CentOS, RHEL i Windows.
Nove verzije eliminirale su ranjivost koja bi potencijalno mogla zaobići autentifikaciju manipulacijom vanjskih dodataka koji podržavaju način odgođene autentifikacije (deferred_auth). Problem se javlja kada nekoliko dodataka šalje odgođene odgovore autentifikacije, što omogućuje vanjskom korisniku da dobije pristup na temelju nepotpuno ispravnih vjerodajnica. Od OpenVPN 2.5.6 i 2.4.12, pokušaji korištenja odgođene autentifikacije pomoću više dodataka rezultirat će pogreškom.
Ostale promjene uključuju uključivanje novog dodatka sample-plugin/defer/multi-auth.c, koji može biti koristan za organiziranje testiranja istodobne upotrebe različitih dodataka za provjeru autentičnosti kako bi se dodatno izbjegle ranjivosti slične onoj gore navedenoj. Na Linux platformi opcija “--mtu-disc maybe|yes” radi. Popravljeno curenje memorije u postupcima za dodavanje ruta.
Izvor: opennet.ru