Keluaran pembetulan OpenVPN 2.5.3 telah disediakan, pakej untuk mencipta rangkaian peribadi maya yang membolehkan anda mengatur sambungan yang disulitkan antara dua mesin pelanggan atau menyediakan pelayan VPN terpusat untuk operasi serentak beberapa pelanggan. Kod OpenVPN diedarkan di bawah lesen GPLv2, pakej binari sedia dijana untuk Debian, Ubuntu, CentOS, RHEL dan Windows.
Versi baharu menghapuskan kelemahan (CVE-2021-3606), yang hanya muncul dalam binaan untuk platform Windows. Kerentanan membenarkan pemuatan fail konfigurasi OpenSSL daripada direktori boleh tulis pihak ketiga untuk menukar tetapan penyulitan. Dalam versi baharu, memuatkan fail konfigurasi OpenSSL dilumpuhkan sepenuhnya.
Perubahan bukan keselamatan termasuk penambahan pilihan "--auth-token-user" (serupa dengan "--auth-token", tetapi tanpa menggunakan "--auth-user-pass"), proses binaan yang dipertingkatkan untuk Windows, sokongan yang lebih baik untuk perpustakaan mbedtls dan notis hak cipta yang dikemas kini dalam kod (perubahan kosmetik).
Selain itu, kami boleh ambil perhatian bahawa Opera telah melumpuhkan VPNnya untuk pengguna Rusia atas permintaan Roskomnadzor. Pada masa ini, fungsi VPN telah berhenti berfungsi dalam versi beta dan pemaju penyemak imbas. Roskomnadzor berhujah bahawa sekatan itu perlu untuk "memberi respons kepada ancaman memintas sekatan ke atas akses kepada pornografi kanak-kanak, bunuh diri, pro-dadah dan kandungan terlarang lain." Selain Opera VPN, sekatan itu juga digunakan pada perkhidmatan VyprVPN.
Sebelum ini, Roskomnadzor menghantar amaran kepada 10 perkhidmatan VPN dengan keperluan untuk "menyambung ke sistem maklumat negeri (FSIS)" untuk menyekat akses kepada sumber yang dilarang di Persekutuan Rusia; Opera VPN dan VyprVPN adalah antaranya. 9 daripada 10 perkhidmatan mengabaikan permintaan atau enggan bekerjasama dengan Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Hanya produk Kaspersky Secure Connection memenuhi keperluan.
Sumber: opennet.ru