En korrigerande version av OpenVPN 2.5.3 har förberetts, ett paket för att skapa virtuella privata nätverk som låter dig organisera en krypterad anslutning mellan två klientmaskiner eller tillhandahålla en centraliserad VPN-server för samtidig drift av flera klienter. OpenVPN-koden distribueras under GPLv2-licensen, färdiga binära paket genereras för Debian, Ubuntu, CentOS, RHEL och Windows.
Den nya versionen eliminerar sårbarheten (CVE-2021-3606), som endast visas i byggnaden för Windows-plattformen. Sårbarheten tillåter laddning av OpenSSL-konfigurationsfiler från tredje parts skrivbara kataloger för att ändra krypteringsinställningar. I den nya versionen är laddning av OpenSSL-konfigurationsfiler helt inaktiverad.
Icke-säkerhetsändringar inkluderar tillägget av alternativet "--auth-token-user" (liknande "--auth-token", men utan att använda "--auth-user-pass"), förbättrad byggprocess för Windows, förbättrat stöd för mbedtls-biblioteket och uppdaterade upphovsrättsmeddelanden i kod (kosmetiska ändringar).
Dessutom kan vi notera att Opera har inaktiverat sin VPN för ryska användare på begäran av Roskomnadzor. För tillfället har VPN-funktionalitet slutat fungera i beta- och utvecklarversioner av webbläsaren. Roskomnadzor hävdar att restriktionerna är nödvändiga för att "reagera på hot om att kringgå restriktioner för tillgång till barnpornografi, självmord, pro-drog och annat förbjudet innehåll." Förutom Opera VPN tillämpades blockeringen även på VyprVPN-tjänsten.
Tidigare skickade Roskomnadzor ut en varning till 10 VPN-tjänster med kravet att "ansluta till det statliga informationssystemet (FSIS)" för att blockera åtkomst till resurser som är förbjudna i Ryska federationen; Opera VPN och VyprVPN var bland dem. 9 av 10 tjänster ignorerade begäran eller vägrade att samarbeta med Roskomnadzor (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Endast Kaspersky Secure Connection-produkten uppfyllde kraven.
Källa: opennet.ru