Опубликован выпуск пакета для создания виртуальных частных сетей OpenVPN 2.6.13, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранена проблема с безопасностью, приводящая к переполнению буфера на стороне сервера OpenVPN при получении от клиента логина или пароля, размер которых превышает значение USER_PASS_LEN. CVE-идентификатор уязвимости пока не присвоен и не ясно насколько проблема пригодна для создания рабочих эксплоитов.
Из не связанных с безопасностью изменений можно отметить:
- Реализована отправка клиентом параметра IV_PLAT_VER, содержащего информацию о релизе операционной системы, выдаваемую функцией uname(), что позволяет на серверах собирать статистику о версиях ОС, используемых клиентами.
- На системах с Linux обеспечен запуск процесса systemd-ask-password с параметром “–timeout=0” для отключения применяемого по умолчанию 90-секундного таймаута.
- Устранены утечки памяти, проявляющиеся во FreeBSD.
- При запуске с опцией “–auth-nocache” реализовано удаление из памяти параметров аутентификации для прокси, после их использования.
- В Windows-клиенте задействована функция CryptProtectMemory() для защищённого хранения в памяти прокэшированных паролей и токенов. Задействован новый API для получения версии драйвера dco-win.
Release.
Ссылка here.