仮想プライベートネットワークを作成するためのパッケージが公開されました。 OpenVPN バージョン2.6.13では、2台のクライアントマシン間、または複数のクライアント向けの中央集中型VPNサーバー間での暗号化接続が可能になりました。この新バージョンでは、サーバー側のバッファオーバーフローを引き起こしていたセキュリティ上の問題が修正されています。 OpenVPN クライアントからUSER_PASS_LEN値を超えるログイン名またはパスワードを受け取った場合、この脆弱性が悪用される可能性があります。CVE識別子はまだ割り当てられておらず、この問題が実際に動作するエクスプロイトを作成するのにどの程度適しているかは不明です。
セキュリティ関連以外の変更には次のものが含まれます。
- クライアントは、uname() 関数によって発行されるオペレーティングシステムのリリースに関する情報を含む IV_PLAT_VER パラメータの送信を実装しており、これにより サーバー クライアントが使用しているOSのバージョンに関する統計情報を収集する。
- システムでは Linux systemd-ask-password プロセスは、デフォルトの 90 秒のタイムアウトを無効にするため、「--timeout=0」パラメータを指定して起動されるようになりました。
- FreeBSD で発生するメモリ リークを修正しました。
- 「--auth-nocache」オプションを指定して起動すると、プロキシの認証パラメータは使用後にメモリから削除されます。
- В Windowsクライアントは、CryptProtectMemory() 関数を使用して、キャッシュされたパスワードとトークンをメモリに安全に保存します。dco-win ドライバのバージョンを取得するために、新しい API が使用されます。
出所: オープンネット.ru
