Parengtos korekcinės OpenVPN 2.5.6 ir 2.4.12 versijos – virtualių privačių tinklų kūrimo paketas, leidžiantis organizuoti šifruotą ryšį tarp dviejų klientų mašinų arba numatyti centralizuotą VPN serverį, kad vienu metu veiktų keli klientai. OpenVPN kodas platinamas pagal GPLv2 licenciją, generuojami paruošti dvejetainiai paketai, skirti Debian, Ubuntu, CentOS, RHEL ir Windows.
Naujos versijos pašalino pažeidžiamumą, kuris gali apeiti autentifikavimą manipuliuojant išoriniais papildiniais, palaikančiais atidėto autentifikavimo režimą (deferred_auth). Problema kyla, kai keli papildiniai siunčia uždelstus autentifikavimo atsakymus, o tai leidžia išoriniam vartotojui gauti prieigą, remiantis nevisiškai teisingais kredencialais. Pradedant OpenVPN 2.5.6 ir 2.4.12 versijomis, bandymai naudoti uždelstą autentifikavimą naudojant kelis papildinius sukels klaidą.
Kiti pakeitimai apima naujo papildinio sample-plugin/defer/multi-auth.c įtraukimą, kuris gali būti naudingas organizuojant skirtingų autentifikavimo įskiepių naudojimo vienu metu testavimą, kad būtų išvengta pažeidžiamumų, panašių į aukščiau aptartą. „Linux“ platformoje veikia parinktis „--mtu-disc Maybe|yes“. Ištaisytas maršrutų pridėjimo procedūrų atminties nutekėjimas.
Šaltinis: opennet.ru
