เวอร์ชันแก้ไขของ OpenVPN 2.5.6 และ 2.4.12 ได้รับการจัดเตรียมไว้แล้ว ซึ่งเป็นแพ็คเกจสำหรับการสร้างเครือข่ายส่วนตัวเสมือนที่ช่วยให้คุณสามารถจัดระเบียบการเชื่อมต่อที่เข้ารหัสระหว่างเครื่องไคลเอนต์สองเครื่องหรือจัดเตรียมเซิร์ฟเวอร์ VPN แบบรวมศูนย์สำหรับการทำงานพร้อมกันของไคลเอนต์หลายตัว รหัส OpenVPN ได้รับการเผยแพร่ภายใต้ใบอนุญาต GPLv2 แพ็คเกจไบนารี่สำเร็จรูปถูกสร้างขึ้นสำหรับ Debian, Ubuntu, CentOS, RHEL และ Windows
В новых версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации несколькими плагинами будут приводить к выводу ошибки.
Из других изменений можно отметить включение в состав нового плагина sample-plugin/defer/multi-auth.c, который может быть полезен для организации тестирования одновременного использования разных плагинов аутентификации, чтобы в дальнейшем избежать уязвимостей, подобных той, что была рассмотрена выше. На платформе Linux налажена работа опции «—mtu-disc maybe|yes». Устранена утечка памяти в процедурах добавления маршрутов.
ที่มา: opennet.ru