Підготовлено коригувальні випуски OpenVPN 2.5.6 та 2.4.12, пакету для створення віртуальних приватних мереж, що дозволяє організувати шифроване з'єднання між двома клієнтськими машинами або забезпечити роботу централізованого VPN-сервера для одночасної роботи кількох клієнтів. Код OpenVPN розповсюджується під ліцензією GPLv2, готові бінарні пакети формуються для Debian, Ubuntu, CentOS, RHEL та Windows.
У нових версіях усунуто вразливість, що дозволяє обійти аутентифікацію через маніпуляцію із зовнішніми плагінами, що підтримують режим відкладеної аутентифікації (deferred_auth). Проблема виникає, коли кілька плагінів надсилають відкладені відповіді аутентифікації, що дозволяє зовнішньому користувачеві отримати доступ на основі не повністю коректних облікових даних. Починаючи з випусків OpenVPN 2.5.6 та 2.4.12 спроби використання відкладеної автентифікації кількома плагінами призводитимуть до виведення помилки.
З інших змін можна відзначити включення до складу нового плагіну sample-plugin/defer/multi-auth.c, який може бути корисним для організації тестування одночасного використання різних плагінів аутентифікації, щоб надалі уникнути вразливостей, подібних до тієї, що була розглянута вище. На платформі Linux налагоджено роботу опції «—mtu-disc maybe|yes». Усунено витік пам'яті у процедурах додавання маршрутів.
Джерело: opennet.ru