Rilis korektif OpenVPN 2.5.6 dan 2.4.12 telah disiapkan, sebuah paket untuk membuat jaringan pribadi virtual yang memungkinkan Anda mengatur koneksi terenkripsi antara dua mesin klien atau menyediakan server VPN terpusat untuk pengoperasian beberapa klien secara bersamaan. Kode OpenVPN didistribusikan di bawah lisensi GPLv2, paket biner siap pakai dibuat untuk Debian, Ubuntu, CentOS, RHEL dan Windows.
Versi baru telah menghilangkan kerentanan yang berpotensi melewati otentikasi melalui manipulasi plugin eksternal yang mendukung mode otentikasi yang ditangguhkan (deferred_auth). Masalah terjadi ketika beberapa plugin mengirimkan respons autentikasi yang tertunda, yang memungkinkan pengguna eksternal mendapatkan akses berdasarkan kredensial yang tidak sepenuhnya benar. Pada OpenVPN 2.5.6 dan 2.4.12, upaya untuk menggunakan otentikasi yang tertunda oleh beberapa plugin akan menghasilkan kesalahan.
Perubahan lainnya termasuk penyertaan plugin baru sample-plugin/defer/multi-auth.c, yang dapat berguna untuk mengatur pengujian penggunaan plugin otentikasi yang berbeda secara bersamaan untuk menghindari kerentanan serupa dengan yang dibahas di atas. Pada platform Linux, opsi β--mtu-disc mungkin|yesβ berfungsi. Memperbaiki kebocoran memori dalam prosedur penambahan rute.
Sumber: opennet.ru