OpenVPN 2.5.6 ve 2.4.12'in düzeltici sürümleri hazırlandı; iki istemci makine arasında şifreli bir bağlantı düzenlemenize veya birkaç istemcinin eşzamanlı çalışması için merkezi bir VPN sunucusu sağlamanıza olanak tanıyan sanal özel ağlar oluşturmaya yönelik bir paket. OpenVPN kodu GPLv2 lisansı altında dağıtılır, Debian, Ubuntu, CentOS, RHEL ve Windows için hazır ikili paketler oluşturulur.
Yeni sürümler, ertelenmiş kimlik doğrulama modunu (deferred_auth) destekleyen harici eklentilerin manipülasyonu yoluyla kimlik doğrulamayı potansiyel olarak atlayabilecek bir güvenlik açığını ortadan kaldırdı. Sorun, birkaç eklentinin gecikmeli kimlik doğrulama yanıtları göndermesi durumunda ortaya çıkıyor ve bu da harici bir kullanıcının, tam olarak doğru olmayan kimlik bilgilerine dayalı olarak erişim kazanmasına olanak tanıyor. OpenVPN 2.5.6 ve 2.4.12'den itibaren, birden fazla eklenti tarafından gecikmeli kimlik doğrulama kullanma girişimleri hatayla sonuçlanacaktır.
Diğer değişiklikler arasında, yukarıda tartışılana benzer güvenlik açıklarından daha fazla kaçınmak amacıyla farklı kimlik doğrulama eklentilerinin eşzamanlı kullanımının test edilmesinde yararlı olabilecek yeni bir örnek eklenti/defer/multi-auth.c eklentisinin eklenmesi yer almaktadır. Linux platformunda “--mtu-disc belki|yes” seçeneği çalışır. Rota ekleme prosedürlerinde bellek sızıntısı düzeltildi.
Kaynak: opennet.ru