用於建立虛擬私人網路的軟體包已發布。 OpenVPN 2.6.13 版本允許在兩台客戶端電腦之間或多個用戶端透過集中式 VPN 伺服器建立加密連線。新版本修復了一個導致伺服器端緩衝區溢出的安全漏洞。 OpenVPN 當客戶端發送的登入名稱或密碼長度超過 USER_PASS_LEN 值時,該漏洞就會被利用。目前尚未指派 CVE 編號,也不清楚該漏洞是否適合用於建立可利用的漏洞程式。
與安全無關的變更包括:
- 用戶端已實作發送由 uname() 函數發出的 IV_PLAT_VER 參數,該參數包含有關作業系統版本的信息,從而允許 伺服器 收集客戶端使用的作業系統版本統計資料。
- 在有 Linux 現在 systemd-ask-password 進程啟動時使用「--timeout=0」參數停用預設的 90 秒逾時。
- 修復了 FreeBSD 中發生的記憶體洩漏。
- 當使用“--auth-nocache”選項運行時,代理的身份驗證參數在使用後將從記憶體中刪除。
- В Windows客戶端使用 CryptProtectMemory() 函數將快取的密碼和令牌安全地儲存在記憶體中。此外,還使用新的 API 來取得 dco-win 驅動程式版本。
來源: opennet.ru
