Kaluaran corrective of OpenVPN 2.5.6 jeung 2.4.12 geus disiapkeun, paket pikeun nyieun jaringan pribadi virtual nu ngidinan Anjeun pikeun ngatur hiji sambungan énkripsi antara dua mesin klien atawa nyadiakeun server VPN terpusat pikeun operasi simultaneous sababaraha klien. Kode OpenVPN disebarkeun dina lisénsi GPLv2, bungkusan binér siap-siap dihasilkeun pikeun Debian, Ubuntu, CentOS, RHEL sareng Windows.
Versi anyar parantos ngaleungitkeun kerentanan anu berpotensi ngalangkungan auténtikasi ku manipulasi plugins éksternal anu ngadukung modeu auténtikasi anu ditunda (deferred_auth). Masalahna lumangsung nalika sababaraha plugins ngirimkeun réspon auténtikasi anu ditunda, anu ngamungkinkeun pangguna éksternal pikeun aksés dumasar kana kapercayaan anu teu leres-leres leres. Nalika OpenVPN 2.5.6 sareng 2.4.12, usaha pikeun ngagunakeun auténtikasi anu ditunda ku sababaraha plugins bakal nyababkeun kasalahan.
Parobihan sanésna kalebet kalebet plugin sample-plugin/defer/multi-auth.c énggal, anu tiasa mangpaat pikeun nguji pamakean simultaneous plugins auténtikasi anu béda supados langkung ngahindarkeun kerentanan anu sami sareng anu dibahas di luhur. Dina platform Linux, pilihan "--mtu-disc meureun|yes" jalan. Ngalereskeun bocor mémori dina prosedur pikeun nambihan rute.
sumber: opennet.ru