Foram preparadas versões corretivas do OpenVPN 2.5.6 e 2.4.12, um pacote para criação de redes privadas virtuais que permite organizar uma conexão criptografada entre duas máquinas clientes ou fornecer um servidor VPN centralizado para a operação simultânea de vários clientes. O código OpenVPN é distribuído sob a licença GPLv2, pacotes binários prontos são gerados para Debian, Ubuntu, CentOS, RHEL e Windows.
Novas versões eliminaram uma vulnerabilidade que poderia ignorar a autenticação por meio da manipulação de plug-ins externos que suportam o modo de autenticação diferida (deferred_auth). O problema ocorre quando vários plug-ins enviam respostas de autenticação atrasadas, o que permite que um usuário externo obtenha acesso com base em credenciais incompletamente corretas. A partir do OpenVPN 2.5.6 e 2.4.12, as tentativas de usar autenticação atrasada por vários plug-ins resultarão em erro.
Outras mudanças incluem a inclusão de um novo plugin sample-plugin/defer/multi-auth.c, que pode ser útil para organizar testes de uso simultâneo de diferentes plugins de autenticação, a fim de evitar ainda mais vulnerabilidades semelhantes à discutida acima. Na plataforma Linux, a opção “--mtu-disc Maybe|yes” funciona. Corrigido vazamento de memória nos procedimentos de adição de rotas.
Fonte: opennet.ru