Przygotowano wersję naprawczą OpenVPN 2.5.3, pakietu do tworzenia wirtualnych sieci prywatnych, który pozwala na zorganizowanie szyfrowanego połączenia pomiędzy dwoma komputerami klienckimi lub udostępnienie scentralizowanego serwera VPN do jednoczesnej pracy kilku klientów. Kod OpenVPN jest dystrybuowany na licencji GPLv2, generowane są gotowe pakiety binarne dla Debiana, Ubuntu, CentOS, RHEL i Windows.
Nowa wersja eliminuje lukę (CVE-2021-3606), która pojawia się jedynie w kompilacji na platformę Windows. Luka umożliwia ładowanie plików konfiguracyjnych OpenSSL z zapisywalnych katalogów innych firm w celu zmiany ustawień szyfrowania. W nowej wersji ładowanie plików konfiguracyjnych OpenSSL jest całkowicie wyłączone.
Zmiany niezwiązane z bezpieczeństwem obejmują dodanie opcji „--auth-token-user” (podobnie jak „--auth-token”, ale bez użycia „--auth-user-pass”), ulepszony proces kompilacji dla systemu Windows, ulepszona obsługa biblioteki mbedtls i zaktualizowane informacje o prawach autorskich w kodzie (zmiany kosmetyczne).
Dodatkowo możemy zauważyć, że Opera na prośbę Roskomnadzora wyłączyła VPN dla rosyjskich użytkowników. W tej chwili funkcjonalność VPN przestała działać w wersji beta i deweloperskiej przeglądarki. Roskomnadzor argumentuje, że ograniczenia są konieczne, aby „reagować na groźby obejścia ograniczeń w dostępie do treści z pornografią dziecięcą, treściami samobójczymi, pronarkotykowymi i innymi zabronionymi”. Oprócz Opera VPN blokowanie dotyczyło także usługi VyprVPN.
Wcześniej Roskomnadzor wysłał ostrzeżenie do 10 serwisów VPN z wymogiem „połączenia się z państwowym systemem informacyjnym (FSIS)” w celu zablokowania dostępu do zasobów zabronionych w Federacji Rosyjskiej, m.in. Opera VPN i VyprVPN. 9 na 10 serwisów zignorowało żądanie lub odmówiło współpracy z Roskomnadzorem (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Tylko produkt Kaspersky Secure Connection spełniał wymagania.
Źródło: opennet.ru