Подготовлен корректирующий выпуск OpenVPN 2.5.3, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.
В новой версии устранена уязвимость (CVE-2021-3606), проявляющаяся только в сборке для платформы Windows. Уязвимость позволяет организовать загрузку файлов конфигурации OpenSSL из сторонних каталогов, доступных на запись, для изменения настроек шифрования. В новой версии загрузка файлов конфигурации OpenSSL полностью отключена.
Из не связанных с безопасностью изменений отмечается добавление опции “–auth-token-user” (аналог “–auth-token”, но без применения “–auth-user-pass”), улучшение процесса сборки для Windows, улучшение поддержки библиотеки mbedtls и обновление примечаний об авторских правах в коде (косметические изменения).
Дополнительно можно отметить отключение компанией Opera своего VPN для российских пользователей по требованию Роскомнадзора. На данный момент функциональность VPN перестала работать в beta- и developer-версиях браузера. Роскомнадзор утверждает, что ограничения необходимы для “реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту”. Кроме Opera VPN блокировка также применена к сервису VyprVPN.
Ранее Роскомнадзор рассылал предупреждение 10 VPN-сервисам с требованием “подключения к государственной информационной системе (ФГИС)” для блокировки доступа к запрещённым в РФ ресурсам, Opera VPN и VyprVPN были в их числе. 9 из 10 сервисов требование проигнорировали или отказались сотрудничать c Роскомнадзором (NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, VPN Unlimited). Выполнил требования только продукт Kaspersky Secure Connection.