OpenVPN 2.5.6 和 2.4.12 的修正版本已准备就绪,这是一个用于创建虚拟专用网络的软件包,允许您在两台客户端计算机之间组织加密连接,或为多个客户端的同时操作提供集中式 VPN 服务器。 OpenVPN 代码在 GPLv2 许可证下分发,为 Debian、Ubuntu、CentOS、RHEL 和 Windows 生成现成的二进制包。
新版本消除了一个漏洞,该漏洞可能通过操纵支持延迟身份验证模式 (deferred_auth) 的外部插件来绕过身份验证。当多个插件发送延迟的身份验证响应时,就会出现问题,这允许外部用户根据不完全正确的凭据获得访问权限。从 OpenVPN 2.5.6 和 2.4.12 开始,尝试通过多个插件使用延迟身份验证将导致错误。
其他更改包括包含一个新插件sample-plugin/defer/multi-auth.c,该插件可用于测试同时使用不同的身份验证插件,以进一步避免与上述漏洞类似的漏洞。在 Linux 平台上,“--mtu-disc Maybe|yes”选项有效。修复了添加路由过程中的内存泄漏。
来源: opennet.ru