È stata preparata una versione correttiva di OpenVPN 2.5.3, un pacchetto per la creazione di reti private virtuali che consente di organizzare una connessione crittografata tra due macchine client o fornire un server VPN centralizzato per il funzionamento simultaneo di più client. Il codice OpenVPN è distribuito sotto la licenza GPLv2, vengono generati pacchetti binari già pronti per Debian, Ubuntu, CentOS, RHEL e Windows.
La nuova versione elimina la vulnerabilità (CVE-2021-3606), che appare solo nella build per la piattaforma Windows. La vulnerabilità consente il caricamento di file di configurazione OpenSSL da directory scrivibili di terze parti per modificare le impostazioni di crittografia. Nella nuova versione, il caricamento dei file di configurazione OpenSSL è completamente disabilitato.
Le modifiche non legate alla sicurezza includono l'aggiunta dell'opzione "--auth-token-user" (simile a "--auth-token", ma senza utilizzare "--auth-user-pass"), un processo di compilazione migliorato per Windows, supporto migliorato per la libreria mbedtls e avvisi di copyright aggiornati nel codice (modifiche estetiche).
Inoltre, possiamo notare che Opera ha disabilitato la sua VPN per gli utenti russi su richiesta di Roskomnadzor. Al momento, la funzionalità VPN ha smesso di funzionare nelle versioni beta e per sviluppatori del browser. Roskomnadzor sostiene che le restrizioni sono necessarie per “rispondere alle minacce di elusione delle restrizioni sull’accesso a pornografia infantile, contenuti suicidi, pro-droga e altri contenuti vietati”. Oltre a Opera VPN, il blocco è stato applicato anche al servizio VyprVPN.
In precedenza, Roskomnadzor aveva inviato un avvertimento a 10 servizi VPN con l'obbligo di "connettersi al sistema informativo statale (FSIS)" per bloccare l'accesso alle risorse vietate nella Federazione Russa; Opera VPN e VyprVPN erano tra questi. 9 servizi su 10 hanno ignorato la richiesta o si sono rifiutati di collaborare con Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Solo il prodotto Kaspersky Secure Connection soddisfaceva i requisiti.
Fonte: opennet.ru