Pripravljena je bila popravljalna izdaja OpenVPN 2.5.3, paketa za ustvarjanje navideznih zasebnih omrežij, ki vam omogoča organiziranje šifrirane povezave med dvema odjemalcema ali zagotavljanje centraliziranega strežnika VPN za hkratno delovanje več odjemalcev. Koda OpenVPN se distribuira pod licenco GPLv2, že pripravljeni binarni paketi so ustvarjeni za Debian, Ubuntu, CentOS, RHEL in Windows.
Nova različica odpravlja ranljivost (CVE-2021-3606), ki se pojavi samo v gradnji za platformo Windows. Ranljivost omogoča nalaganje konfiguracijskih datotek OpenSSL iz zapisljivih imenikov tretjih oseb za spreminjanje nastavitev šifriranja. V novi različici je nalaganje konfiguracijskih datotek OpenSSL popolnoma onemogočeno.
Spremembe, ki niso povezane z varnostjo, vključujejo dodajanje možnosti »--auth-token-user« (podobno »--auth-token«, vendar brez uporabe »--auth-user-pass«), izboljšan postopek gradnje za Windows, izboljšana podpora za knjižnico mbedtls in posodobljena obvestila o avtorskih pravicah v kodi (kozmetične spremembe).
Poleg tega lahko opazimo, da je Opera na zahtevo Roskomnadzorja onemogočila svoj VPN za ruske uporabnike. Funkcionalnost VPN trenutno ni več delovala v beta različicah in različicah brskalnika za razvijalce. Roskomnadzor trdi, da so omejitve potrebne za "odziv na grožnje izogibanja omejitvam dostopa do otroške pornografije, samomorilne vsebine, vsebine za droge in druge prepovedane vsebine." Poleg Opera VPN je bila blokada uporabljena tudi za storitev VyprVPN.
Prej je Roskomnadzor poslal opozorilo 10 storitvam VPN z zahtevo, da se "povezajo z državnim informacijskim sistemom (FSIS)", da blokirajo dostop do virov, prepovedanih v Ruski federaciji; Med njimi sta bili Opera VPN in VyprVPN. 9 od 10 storitev je ignoriralo zahtevo ali zavrnilo sodelovanje z Roskomnadzorjem (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Zahtevam je ustrezal samo izdelek Kaspersky Secure Connection.
Vir: opennet.ru