Korrigerande versioner av OpenVPN 2.5.6 och 2.4.12 har förberetts, ett paket för att skapa virtuella privata nätverk som låter dig organisera en krypterad anslutning mellan två klientmaskiner eller tillhandahålla en centraliserad VPN-server för samtidig drift av flera klienter. OpenVPN-koden distribueras under GPLv2-licensen, färdiga binära paket genereras för Debian, Ubuntu, CentOS, RHEL och Windows.
Nya versioner har eliminerat en sårbarhet som potentiellt kan kringgå autentisering genom manipulering av externa plugins som stöder uppskjutet autentiseringsläge (deferred_auth). Problemet uppstår när flera plugins skickar försenade autentiseringssvar, vilket gör att en extern användare kan få åtkomst baserat på ofullständigt korrekta autentiseringsuppgifter. Från och med OpenVPN 2.5.6 och 2.4.12 kommer försök att använda fördröjd autentisering av flera plugins att resultera i ett fel.
Andra förändringar inkluderar införandet av en ny plugin sample-plugin/defer/multi-auth.c, som kan vara användbar för att testa samtidig användning av olika autentiseringsplugins för att ytterligare undvika sårbarheter liknande den som diskuterats ovan. På Linux-plattformen fungerar alternativet "--mtu-skiva kanske|ja". Fixade en minnesläcka i procedurerna för att lägga till rutter.
Källa: opennet.ru