Rilis korektif saka OpenVPN 2.5.6 lan 2.4.12 wis disiapake, paket kanggo nggawe jaringan pribadi virtual sing ngidini sampeyan ngatur sambungan sing dienkripsi ing antarane rong mesin klien utawa nyedhiyakake server VPN terpusat kanggo operasi simultan saka sawetara klien. Kode OpenVPN disebarake miturut lisensi GPLv2, paket binar siap digawe kanggo Debian, Ubuntu, CentOS, RHEL lan Windows.
Versi anyar wis ngilangi kerentanan sing bisa ngliwati otentikasi liwat manipulasi plugin eksternal sing ndhukung mode otentikasi sing ditundha (deferred_auth). Masalah kasebut kedadeyan nalika sawetara plugin ngirim respon otentikasi sing telat, sing ngidini pangguna eksternal entuk akses adhedhasar kredensial sing ora bener. Ing OpenVPN 2.5.6 lan 2.4.12, nyoba nggunakake otentikasi sing ditundha dening pirang-pirang plugin bakal nyebabake kesalahan.
Owah-owahan liyane kalebu kalebu plugin sample-plugin/defer/multi-auth.c anyar, sing bisa migunani kanggo ngatur tes panggunaan simultan plugin otentikasi sing beda supaya bisa ngindhari kerentanan sing padha karo sing wis dibahas ing ndhuwur. Ing platform Linux, opsi "--mtu-disc maybe|yes" bisa digunakake. Ndandani bocor memori ing prosedur kanggo nambah rute.
Source: opennet.ru