שחרור של OpenVPN 2.5.6 ו-2.4.12 עם תיקון פגיעות

הוכנו מהדורות מתקנות של OpenVPN 2.5.6 ו-2.4.12, חבילה ליצירת רשתות וירטואליות פרטיות המאפשרת לך לארגן חיבור מוצפן בין שני מכונות לקוח או לספק שרת VPN מרכזי לפעולה בו-זמנית של מספר לקוחות. קוד OpenVPN מופץ תחת רישיון GPLv2, חבילות בינאריות מוכנות נוצרות עבור Debian, Ubuntu, CentOS, RHEL ו-Windows.

גרסאות חדשות ביטלו פגיעות שעלולה לעקוף את האימות באמצעות מניפולציה של תוספים חיצוניים התומכים במצב אימות דחוי (deferred_auth). הבעיה מתרחשת כאשר מספר תוספים שולחים תגובות אימות מושהות, מה שמאפשר למשתמש חיצוני לקבל גישה על סמך אישורים לא נכונים לחלוטין. החל מ-OpenVPN 2.5.6 ו-2.4.12, ניסיונות להשתמש באימות מושהה על ידי מספר תוספים יגרמו לשגיאה.

שינויים אחרים כוללים הכללת תוסף חדש sample-plugin/defer/multi-auth.c, שיכול להיות שימושי לבדיקת השימוש בו זמנית בתוספי אימות שונים על מנת למנוע עוד יותר נקודות תורפה דומות לזו שנדונה לעיל. בפלטפורמת לינוקס, האפשרות "--mtu-disc אולי|כן" עובדת. תוקנה דליפת זיכרון בהליכי הוספת מסלולים.

מקור: OpenNet.ru