OpenVPN 2.5.6 および 2.4.12 の修正リリースが準備されました。これは、2 台のクライアント マシン間の暗号化された接続を組織したり、複数のクライアントを同時に操作するための集中型 VPN サーバーを提供したりできる、仮想プライベート ネットワークを作成するためのパッケージです。 OpenVPN コードは GPLvXNUMX ライセンスに基づいて配布され、既製のバイナリ パッケージが Debian、Ubuntu、CentOS、RHEL、Windows 用に生成されます。
新しいバージョンでは、遅延認証モード (deferred_auth) をサポートする外部プラグインの操作によって認証をバイパスする可能性がある脆弱性が排除されました。 この問題は、複数のプラグインが遅延した認証応答を送信する場合に発生します。これにより、外部ユーザーが不完全に正しい資格情報に基づいてアクセスできるようになります。 OpenVPN 2.5.6 および 2.4.12 では、複数のプラグインで遅延認証を使用しようとするとエラーが発生します。
その他の変更には、新しいプラグインsample-plugin/defer/multi-auth.cの追加が含まれます。これは、上で説明したものと同様の脆弱性をさらに回避するために、異なる認証プラグインの同時使用のテストを組織するのに役立ちます。 Linux プラットフォームでは、「--mtu-disc might|yes」オプションが機能します。 ルートを追加する手順でのメモリ リークを修正しました。
出所: オープンネット.ru