Er zijn corrigerende releases van OpenVPN 2.5.6 en 2.4.12 voorbereid, een pakket voor het creëren van virtuele privénetwerken waarmee u een gecodeerde verbinding tussen twee clientmachines kunt organiseren of een gecentraliseerde VPN-server kunt bieden voor de gelijktijdige werking van meerdere clients. De OpenVPN-code wordt gedistribueerd onder de GPLv2-licentie, er worden kant-en-klare binaire pakketten gegenereerd voor Debian, Ubuntu, CentOS, RHEL en Windows.
Nieuwe versies hebben een kwetsbaarheid geëlimineerd die mogelijk authenticatie zou kunnen omzeilen door manipulatie van externe plug-ins die de uitgestelde authenticatiemodus ondersteunen (deferred_auth). Het probleem doet zich voor wanneer verschillende plug-ins vertraagde authenticatiereacties verzenden, waardoor een externe gebruiker toegang kan krijgen op basis van onvolledig correcte inloggegevens. Vanaf OpenVPN 2.5.6 en 2.4.12 zullen pogingen om vertraagde authenticatie door meerdere plug-ins te gebruiken resulteren in een fout.
Andere veranderingen zijn onder meer de opname van een nieuwe plug-in sample-plugin/defer/multi-auth.c, die handig kan zijn voor het organiseren van het testen van het gelijktijdige gebruik van verschillende authenticatie-plug-ins om kwetsbaarheden zoals hierboven besproken verder te voorkomen. Op het Linux-platform werkt de optie “--mtu-disc misschien | ja”. Een geheugenlek opgelost in de procedures voor het toevoegen van routes.
Bron: opennet.ru