Przygotowano wersje korygujące OpenVPN 2.5.6 i 2.4.12, pakiet do tworzenia wirtualnych sieci prywatnych, który pozwala na zorganizowanie szyfrowanego połączenia pomiędzy dwoma maszynami klienckimi lub udostępnienie scentralizowanego serwera VPN do jednoczesnej pracy kilku klientów. Kod OpenVPN jest dystrybuowany na licencji GPLv2, generowane są gotowe pakiety binarne dla Debiana, Ubuntu, CentOS, RHEL i Windows.
Nowe wersje wyeliminowały lukę, która mogła potencjalnie ominąć uwierzytelnianie poprzez manipulację zewnętrznymi wtyczkami obsługującymi tryb odroczonego uwierzytelniania (deferred_auth). Problem występuje, gdy kilka wtyczek wysyła odpowiedzi z opóźnionym uwierzytelnieniem, co pozwala użytkownikowi zewnętrznemu uzyskać dostęp w oparciu o niezupełnie poprawne dane uwierzytelniające. Począwszy od wersji OpenVPN 2.5.6 i 2.4.12, próby użycia opóźnionego uwierzytelniania przez wiele wtyczek będą kończyć się błędem.
Inne zmiany obejmują dodanie nowej wtyczki sample-plugin/defer/multi-auth.c, która może być przydatna do organizowania testów jednoczesnego korzystania z różnych wtyczek uwierzytelniających w celu dalszego uniknięcia luk podobnych do omówionych powyżej. Na platformie Linux działa opcja „--mtu-disc może|tak”. Naprawiono wyciek pamięci w procedurach dodawania tras.
Źródło: opennet.ru