Është përgatitur një lëshim korrigjues i OpenVPN 2.5.3, një paketë për krijimin e rrjeteve private virtuale që ju lejon të organizoni një lidhje të koduar midis dy makinave të klientit ose të siguroni një server të centralizuar VPN për funksionimin e njëkohshëm të disa klientëve. Kodi OpenVPN shpërndahet nën licencën GPLv2, paketat binare të gatshme gjenerohen për Debian, Ubuntu, CentOS, RHEL dhe Windows.
Versioni i ri eliminon cenueshmërinë (CVE-2021-3606), e cila shfaqet vetëm në ndërtimin për platformën Windows. Dobësia lejon ngarkimin e skedarëve të konfigurimit OpenSSL nga drejtoritë e shkruajtshme të palëve të treta për të ndryshuar cilësimet e kriptimit. Në versionin e ri, ngarkimi i skedarëve të konfigurimit OpenSSL është plotësisht i çaktivizuar.
Ndryshimet jo të sigurisë përfshijnë shtimin e opsionit "--auth-token-user" (i ngjashëm me "--auth-token", por pa përdorur "--auth-user-pass"), procesi i përmirësuar i ndërtimit për Windows, mbështetje e përmirësuar për bibliotekën mbedtls dhe njoftime të përditësuara për të drejtat e autorit në kod (ndryshime kozmetike).
Për më tepër, mund të vërejmë se Opera ka çaktivizuar VPN-në e saj për përdoruesit rusë me kërkesë të Roskomnadzor. Për momentin, funksionaliteti VPN ka ndaluar së punuari në versionet beta dhe zhvilluesi të shfletuesit. Roskomnadzor argumenton se kufizimet janë të nevojshme për t'iu përgjigjur kërcënimeve për anashkalimin e kufizimeve për aksesin në pornografinë e fëmijëve, përmbajtjet vetëvrasëse, pro-drogës dhe përmbajtje të tjera të ndaluara. Përveç Opera VPN, bllokimi u aplikua edhe në shërbimin VyprVPN.
Më parë, Roskomnadzor dërgoi një paralajmërim për 10 shërbime VPN me kërkesën për të "lidhur me sistemin e informacionit shtetëror (FSIS)" për të bllokuar aksesin në burimet e ndaluara në Federatën Ruse; Opera VPN dhe VyprVPN ishin midis tyre. 9 nga 10 shërbime e injoruan kërkesën ose refuzuan të bashkëpunojnë me Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Vetëm produkti Kaspersky Secure Connection i plotësonte kërkesat.
Burimi: opennet.ru