Sono state preparate le versioni correttive di OpenVPN 2.5.6 e 2.4.12, un pacchetto per la creazione di reti private virtuali che consente di organizzare una connessione crittografata tra due macchine client o fornire un server VPN centralizzato per il funzionamento simultaneo di più client. Il codice OpenVPN è distribuito sotto la licenza GPLv2, vengono generati pacchetti binari già pronti per Debian, Ubuntu, CentOS, RHEL e Windows.
Le nuove versioni hanno eliminato una vulnerabilità che potrebbe potenzialmente aggirare l'autenticazione attraverso la manipolazione di plugin esterni che supportano la modalità di autenticazione differita (deferred_auth). Il problema si verifica quando diversi plugin inviano risposte di autenticazione ritardate, che consentono a un utente esterno di ottenere l'accesso in base a credenziali non completamente corrette. A partire da OpenVPN 2.5.6 e 2.4.12, i tentativi di utilizzare l'autenticazione ritardata da parte di più plug-in comporteranno un errore.
Altre modifiche includono l'inclusione di un nuovo plugin sample-plugin/defer/multi-auth.c, che può essere utile per organizzare test sull'uso simultaneo di diversi plugin di autenticazione al fine di evitare ulteriormente vulnerabilità simili a quella discussa sopra. Sulla piattaforma Linux, l'opzione “--mtu-disc forse|yes” funziona. Risolto un problema di memoria nelle procedure di aggiunta dei percorsi.
Fonte: opennet.ru