Pripravené sú opravné vydania OpenVPN 2.5.6 a 2.4.12, balík na vytváranie virtuálnych privátnych sietí, ktorý vám umožňuje zorganizovať šifrované spojenie medzi dvoma klientskymi strojmi alebo poskytnúť centralizovaný server VPN pre súčasnú prevádzku niekoľkých klientov. Kód OpenVPN je distribuovaný pod licenciou GPLv2, hotové binárne balíčky sú generované pre Debian, Ubuntu, CentOS, RHEL a Windows.
Nové verzie eliminovali zraniteľnosť, ktorá by mohla potenciálne obísť autentifikáciu manipuláciou s externými zásuvnými modulmi, ktoré podporujú režim odloženej autentifikácie (deferred_auth). Problém nastáva, keď niekoľko doplnkov posiela oneskorené overovacie odpovede, čo umožňuje externému používateľovi získať prístup na základe neúplne správnych poverení. Od verzie OpenVPN 2.5.6 a 2.4.12 budú mať pokusy o použitie oneskorenej autentifikácie viacerými zásuvnými modulmi za následok chybu.
Medzi ďalšie zmeny patrí zahrnutie nového doplnku sample-plugin/defer/multi-auth.c, ktorý môže byť užitočný na organizovanie testovania súčasného používania rôznych autentifikačných doplnkov, aby sa ďalej predišlo zraniteľnostiam podobným tej, o ktorej sme hovorili vyššie. Na platforme Linux funguje možnosť „--mtu-disk možno|áno“. Opravený únik pamäte v procedúrach pridávania trás.
Zdroj: opennet.ru