OpenVPN 2.5.6 和2.4.12 的修正版本已經準備就緒,這是一個用於建立虛擬專用網路的軟體包,可讓您在兩台客戶端電腦之間組織加密連接,或為多個客戶端的同時操作提供集中式VPN 伺服器。 OpenVPN 程式碼在 GPLv2 授權下分發,為 Debian、Ubuntu、CentOS、RHEL 和 Windows 產生現成的二進位套件。
新版本消除了一個漏洞,該漏洞可能透過操縱支援延遲身份驗證模式 (deferred_auth) 的外部插件來繞過身份驗證。 當多個插件發送延遲的身份驗證回應時,就會出現問題,這允許外部用戶根據不完全正確的憑證獲得存取權限。 從 OpenVPN 2.5.6 和 2.4.12 開始,嘗試透過多個外掛程式使用延遲身份驗證將導致錯誤。
其他變更包括包含一個新插件sample-plugin/defer/multi-auth.c,該插件可用於測試同時使用不同的驗證插件,以進一步避免與上述漏洞類似的漏洞。 在 Linux 平台上,「--mtu-disc Maybe|yes」選項有效。 修復了新增路由過程中的記憶體洩漏。
來源: opennet.ru