En korrigerende utgivelse av OpenVPN 2.5.3 er utarbeidet, en pakke for å lage virtuelle private nettverk som lar deg organisere en kryptert forbindelse mellom to klientmaskiner eller gi en sentralisert VPN-server for samtidig drift av flere klienter. OpenVPN-koden distribueres under GPLv2-lisensen, ferdige binære pakker genereres for Debian, Ubuntu, CentOS, RHEL og Windows.
Den nye versjonen eliminerer sårbarheten (CVE-2021-3606), som bare vises i bygningen for Windows-plattformen. Sårbarheten tillater lasting av OpenSSL-konfigurasjonsfiler fra tredjeparts skrivbare kataloger for å endre krypteringsinnstillinger. I den nye versjonen er lasting av OpenSSL-konfigurasjonsfiler fullstendig deaktivert.
Ikke-sikkerhetsendringer inkluderer tillegg av "--auth-token-user"-alternativet (ligner på "--auth-token", men uten å bruke "--auth-user-pass"), forbedret byggeprosess for Windows, forbedret støtte for mbedtls-biblioteket og oppdaterte opphavsrettsmerknader i kode (kosmetiske endringer).
I tillegg kan vi merke oss at Opera har deaktivert VPN-en for russiske brukere på forespørsel fra Roskomnadzor. For øyeblikket har VPN-funksjonalitet sluttet å fungere i beta- og utviklerversjoner av nettleseren. Roskomnadzor hevder at restriksjonene er nødvendige for å "reagere på trusler om å omgå restriksjoner på tilgang til barnepornografi, selvmord, pro-drug og annet forbudt innhold." I tillegg til Opera VPN, ble blokkeringen også brukt på VyprVPN-tjenesten.
Tidligere sendte Roskomnadzor ut en advarsel til 10 VPN-tjenester med kravet om å "koble til det statlige informasjonssystemet (FSIS)" for å blokkere tilgang til ressurser som er forbudt i Russland; Opera VPN og VyprVPN var blant dem. 9 av 10 tjenester ignorerte forespørselen eller nektet å samarbeide med Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Bare Kaspersky Secure Connection-produktet oppfylte kravene.
Kilde: opennet.ru