Er is een corrigerende release van OpenVPN 2.5.3 voorbereid, een pakket voor het creëren van virtuele privénetwerken waarmee u een gecodeerde verbinding tussen twee clientmachines kunt organiseren of een gecentraliseerde VPN-server kunt bieden voor de gelijktijdige werking van meerdere clients. De OpenVPN-code wordt gedistribueerd onder de GPLv2-licentie, er worden kant-en-klare binaire pakketten gegenereerd voor Debian, Ubuntu, CentOS, RHEL en Windows.
De nieuwe versie elimineert de kwetsbaarheid (CVE-2021-3606), die alleen voorkomt in de build voor het Windows-platform. Door het beveiligingslek kunnen OpenSSL-configuratiebestanden worden geladen vanuit beschrijfbare mappen van derden om de coderingsinstellingen te wijzigen. In de nieuwe versie is het laden van OpenSSL-configuratiebestanden volledig uitgeschakeld.
Niet-beveiligingswijzigingen omvatten de toevoeging van de “--auth-token-user” optie (vergelijkbaar met “--auth-token”, maar zonder gebruik van “--auth-user-pass”), verbeterd bouwproces voor Windows, verbeterde ondersteuning voor de mbedtls-bibliotheek en bijgewerkte copyrightkennisgevingen in code (cosmetische wijzigingen).
Bovendien kunnen we opmerken dat Opera op verzoek van Roskomnadzor zijn VPN voor Russische gebruikers heeft uitgeschakeld. Op dit moment werkt de VPN-functionaliteit niet meer in bèta- en ontwikkelaarsversies van de browser. Roskomnadzor stelt dat de beperkingen noodzakelijk zijn om “te reageren op de dreiging van het omzeilen van beperkingen op de toegang tot kinderpornografie, suïcidale, pro-drugs- en andere verboden inhoud.” Naast Opera VPN werd de blokkering ook toegepast op de dienst VyprVPN.
Eerder stuurde Roskomnadzor een waarschuwing naar 10 VPN-diensten met de vereiste om “verbinding te maken met het staatsinformatiesysteem (FSIS)” om de toegang te blokkeren tot bronnen die in de Russische Federatie verboden zijn; Opera VPN en VyprVPN waren daaronder. 9 van de 10 diensten negeerden het verzoek of weigerden samen te werken met Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Alleen het Kaspersky Secure Connection-product voldeed aan de vereisten.
Bron: opennet.ru