Pripravljene so bile popravne izdaje OpenVPN 2.5.6 in 2.4.12, paketa za ustvarjanje navideznih zasebnih omrežij, ki vam omogoča organiziranje šifrirane povezave med dvema odjemalcema ali zagotavljanje centraliziranega strežnika VPN za hkratno delovanje več odjemalcev. Koda OpenVPN se distribuira pod licenco GPLv2, že pripravljeni binarni paketi so ustvarjeni za Debian, Ubuntu, CentOS, RHEL in Windows.
Nove različice so odpravile ranljivost, ki bi lahko zaobšla avtentikacijo z manipulacijo zunanjih vtičnikov, ki podpirajo način odložene avtentikacije (deferred_auth). Težava se pojavi, ko več vtičnikov pošlje zakasnjene odzive pri preverjanju pristnosti, kar zunanjemu uporabniku omogoči dostop na podlagi nepopolno pravilnih poverilnic. Od OpenVPN 2.5.6 in 2.4.12 bodo poskusi uporabe zakasnjenega preverjanja pristnosti z več vtičniki povzročili napako.
Druge spremembe vključujejo vključitev novega vtičnika sample-plugin/defer/multi-auth.c, ki je lahko koristen za organizacijo testiranja hkratne uporabe različnih vtičnikov za preverjanje pristnosti, da bi se dodatno izognili ranljivostim, podobnim tistim, ki smo jih obravnavali zgoraj. Na platformi Linux deluje možnost »--mtu-disc maybe|yes«. Odpravljeno puščanje pomnilnika v postopkih za dodajanje poti.
Vir: opennet.ru