Elkészültek az OpenVPN 2.5.6 és 2.4.12 javító kiadásai, a virtuális magánhálózatok létrehozására szolgáló csomag, amely lehetővé teszi két kliens gép közötti titkosított kapcsolat megszervezését vagy központi VPN szerver biztosítását több kliens egyidejű működéséhez. Az OpenVPN kódot GPLv2 licenc alatt terjesztik, kész bináris csomagokat generálnak Debian, Ubuntu, CentOS, RHEL és Windows számára.
Az új verziók kiküszöbölték azt a biztonsági rést, amely potenciálisan megkerülheti a hitelesítést a késleltetett hitelesítési módot (deferred_auth) támogató külső beépülő modulok manipulálásával. A probléma akkor jelentkezik, ha több beépülő modul késleltetett hitelesítési választ küld, ami lehetővé teszi egy külső felhasználó számára, hogy nem teljesen megfelelő hitelesítő adatok alapján férhessen hozzá. Az OpenVPN 2.5.6-tól és 2.4.12-től kezdve a több beépülő modul általi késleltetett hitelesítési kísérletek hibát eredményeznek.
A további változtatások közé tartozik egy új minta-plugin/defer/multi-auth.c beépülő modul, amely hasznos lehet a különböző hitelesítési bővítmények egyidejű használatának tesztelésének megszervezésében, a fent tárgyalthoz hasonló sebezhetőségek további elkerülése érdekében. Linux platformon a „--mtu-disc Maybe|yes” opció működik. Memóriaszivárgás javítása az útvonalak hozzáadásának folyamatában.
Forrás: opennet.ru