Sono disponibili i rilasci correttivi di OpenVPN 2.5.6 e 2.4.12, un pacchetto per la creazione di reti private virtuali che consente di organizzare una connessione crittografata tra due macchine client o di gestire un server VPN centralizzato per l'uso simultaneo di più client. Il codice di OpenVPN è distribuito sotto la licenza GPLv2, i pacchetti binari pronti vengono creati per Debian, Ubuntu, CentOS, RHEL e Windows.
Nelle nuove versioni è stata corretta una vulnerabilità che poteva consentire di eludere l'autenticazione tramite la manipolazione di plugin esterni che supportano la modalità di autenticazione differita (deferred_auth). Il problema si verifica quando più plugin inviano risposte di autenticazione differite, permettendo a un utente esterno di accedere sulla base di credenziali non completamente corrette. A partire dai rilasci di OpenVPN 2.5.6 e 2.4.12, i tentativi di utilizzare l'autenticazione differita da parte di più plugin genereranno un messaggio di errore.
Tra le altre modifiche, si segnala l'inclusione del nuovo plugin sample-plugin/defer/multi-auth.c, che può essere utile per testare l'uso simultaneo di diversi plugin di autenticazione, al fine di evitare vulnerabilità simili a quella discussa in precedenza. Sulla piattaforma Linux è stata attivata l'opzione "—mtu-disc maybe|yes". È stata risolta una perdita di memoria nelle procedure di aggiunta di route.
Fonte: opennet.ru
