Підготовлено коригуючий випуск OpenVPN 2.5.3, пакету для створення віртуальних приватних мереж, що дозволяє організувати шифроване з'єднання між двома клієнтськими машинами або забезпечити централізований VPN-сервер для одночасної роботи декількох клієнтів. Код OpenVPN розповсюджується під ліцензією GPLv2, готові бінарні пакети формуються для Debian, Ubuntu, CentOS, RHEL та Windows.
У новій версії усунута вразливість (CVE-2021-3606), що виявляється лише у збиранні для платформи Windows. Вразливість дозволяє організувати завантаження файлів конфігурації OpenSSL зі сторонніх каталогів, доступних для запису, для зміни налаштувань шифрування. Нова версія завантаження файлів конфігурації OpenSSL повністю відключена.
З не пов'язаних з безпекою змін відзначається додавання опції «-auth-token-user» (аналог «-auth-token», але без застосування «-auth-user-pass»), покращення процесу збирання для Windows, покращення підтримки бібліотеки mbedtls та оновлення приміток про авторські права у коді (косметичні зміни).
Додатково можна відзначити відключення компанією Opera свого VPN для російських користувачів на вимогу Роскомнагляду. На даний момент функціональність VPN перестала працювати в beta- та developer-версіях браузера. Роскомнагляд стверджує, що обмеження необхідні для «реагування на загрози обходу обмежень доступу до дитячої порнографії, суїцидального, пронаркотичного та іншого забороненого контенту». Крім Opera VPN блокування також застосоване до сервісу VyprVPN.
Раніше Роскомнагляд розсилав попередження 10 VPN-сервісів з вимогою «підключення до державної інформаційної системи (ФДІС)» для блокування доступу до заборонених в РФ ресурсів, Opera VPN і VyprVPN були серед них. 9 з 10 сервісів вимогу проігнорували або відмовилися співпрацювати з Роскомнаглядом (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Виконав вимоги лише продукт Kaspersky Secure Connection.
Джерело: opennet.ru