OpenVPN 2.5.3 的修正版本已准备就绪,这是一个用于创建虚拟专用网络的软件包,允许您在两台客户端计算机之间组织加密连接,或为多个客户端的同时操作提供集中式 VPN 服务器。 OpenVPN 代码在 GPLv2 许可证下分发,为 Debian、Ubuntu、CentOS、RHEL 和 Windows 生成现成的二进制包。
新版本消除了该漏洞(CVE-2021-3606),该漏洞仅出现在Windows平台的版本中。 该漏洞允许从第三方可写目录加载 OpenSSL 配置文件以更改加密设置。 在新版本中,完全禁用加载 OpenSSL 配置文件。
非安全性更改包括添加“--auth-token-user”选项(类似于“--auth-token”,但不使用“--auth-user-pass”),改进了 Windows 的构建过程,改进了对 mbedtls 库的支持并更新了代码中的版权声明(外观更改)。
此外,我们可以注意到,应 Roskomnadzor 的要求,Opera 已为俄罗斯用户禁用了 VPN。 目前,VPN 功能已停止在浏览器的测试版和开发版中运行。 Roskomnadzor 认为,这些限制是必要的,以“应对规避儿童色情、自杀、毒品和其他违禁内容限制的威胁”。 除了 Opera VPN 之外,封锁还适用于 VyprVPN 服务。
此前,Roskomnadzor 向 10 个 VPN 服务发出警告,要求“连接到国家信息系统 (FSIS)”,以阻止访问俄罗斯联邦禁止的资源;Opera VPN 和 VyprVPN 均在其中。 十分之九的服务忽略了请求或拒绝与 Roskomnadzor 合作(NordVPN、Hide My Ass!、Hola VPN、OpenVPN、VyprVPN、ExpressVPN、TorGuard、IPVanish、VPN Unlimited)。 只有卡巴斯基安全连接产品满足要求。
来源: opennet.ru