OpenVPN

OpenVPN este o soluție VPN complet deschisă, susținută de SSL (Secure Sockets Layer) și proiectată să găzduiască o gamă largă de funcționalități ale serverului OpenVPN, inclusiv VPN acces și securitate Wi-Fi.

Acesta poate fi, de asemenea, utilizat pentru a implementa soluții de acces la distanță de la scară largă cu failover, controale de acces cu granulație fină și echilibrare a încărcării, precum și aplicații simplificate OpenVPN Connect UI și OpenVPN Client pentru o gamă largă de sisteme de operare. / p>
Implementează atât extensii de rețea OSI cu strat 2 și 3

Proiectul implementează atât extensii de rețea securizate OSI 2 și 3, utilizând protocoalele standard TLS (Transport Layer Security) și SSL (Secure Sockets Layer). Este compatibil cu sistemele GNU / Linux, Mac OS X, Android, iOS și Microsoft Windows.

OpenVPN este conceput pentru a suporta metode flexibile de autentificare a clienților, bazate pe certificate, autentificare cu două factori și carduri inteligente. Rețineți că nu este un proxy de aplicație web și nu funcționează printr-un browser web.

În plus, OpenVPN Access Server este conceput pentru a suporta o multitudine de configurații, inclusiv acces la distanță granular și securizat la serviciile de rețea interne, precum și aplicații și resurse private din rețeaua cloud, oferind în același timp un control foarte precis.

Numeroase întreprinderi mici și mijlocii au ales să utilizeze OpenVPN pentru a oferi angajaților lor asistență de conectare la distanță pentru a lucra din țară sau din străinătate.

În timp ce proiectul este de fapt un serviciu de daemon care rulează în fundal și poate fi accesat numai printr-un emulator de terminal X11 sau prin consola Linux, există o gamă largă de interfețe GUI (interfață grafică de utilizator) - utilizatorii să se conecteze cu ușurință la un anumit server OpenVPN utilizând fișiere de configurare predefinite.

Toate acestea, OpenVPN este o alternativă excelentă, open source și gratuită pentru soluții VPN similare, dar deținute sau greu de implementat, cum ar fi L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol) și IPsec (Internet Protocol Security).

Ce este nou în această versiune:

• David Sommerseth (1):
• management: Avertizare dacă portul TCP este utilizat fără parolă
• Gert Doering (3):
• Versiunea corectă în ChangeLog - trebuie să fie 2.4.5, a fost eronată ca 2.4.4
• Fixați potențialul fără dublu () în serviciul interactiv (CVE-2018-9336)
• pregătirea versiunii v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Gert van Dijk (1):
• manpage: îmbunătățirea descrierii --status și --status-version
• Joost Rijneveld (1):
• Efectuați codul de returnare extern al documentelor de potrivire a cheilor
• Selva Nair (3):
• Ștergeți ruta IPv6 la rubrica "conectat" rețea pe canal închis
• Gestionare: avertizați despre parolă numai atunci când opțiunea este utilizată
• Evitați excesul în calculul timpului de trezire
• Simon Matter (1):
• Adăugați lipsă #ifdef SSL_OP_NO_TLSv1_1 / 2
• Steffan Karger (1):
• Verificați mai multe date în canalul de control

Ce este nou în versiune:

• Antonio Quartulli (1):
• Ignoră auth-nocache pentru auth-user-pass dacă auth-token este împins
• David Sommerseth (3):
• crypto: Activați verificarea amprentelor SHA256 în --verify-hash
• Drepturi de autor: actualizați textele licenței GPLv2
• auth-token cu auth-nocache fix rupt -disable-crypto construiește
• Emmanuel Deloget (8):
• OpenSSL: nu utilizați acces direct la X509 intern
• OpenSSL: nu folosiți accesul direct la EVP_PKEY intern
• OpenSSL: nu folosiți acces direct la RSA internă
• OpenSSL: nu utilizați acces direct la DSA intern
• OpenSSL: forța meth-> nume ca non-const atunci când liber ()
• OpenSSL: nu utilizați accesul direct la memoria internă a EVP_MD_CTX
• OpenSSL: nu folosiți accesul direct la interfața EVP_CIPHER_CTX
• OpenSSL: nu folosiți accesul direct la HMAC_CTX intern
• Gert Doering (6):
• Fixați comportamentul NCP la reconectarea TLS.
• Eliminați limitarea eronată a numărului maxim de arguri pentru --plugin
• Fixați carcasa de margine cu clienții care nu reușesc să creeze cifre pe PUSH_REPLY goale.
• Fixați un potențial excesiv de citire a parolei cu 1 octet în parsarea opțiunii TCP.
• Fixați ASSERT () declanșat de la distanță pentru pachetul IPv6 malformat.
• Pregătirea pentru lansare v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Guido Vranken (6):
• refactor my_strupr
• Fixați 2 scurgeri de memorie în rutina de autentificare proxy
• Fixați scurgeri de memorie în add_option () pentru opțiunea 'connection' (conectare)
• Asigurați-vă că opțiunea array p [] este întotdeauna NULL-terminată
• Fixați o dereferență null-pointer în establish_http_proxy_passthru ()
• Împiedicați două tipuri de memorie tampon de tip stivă OOB și un accident pentru datele de intrare nevalide
• Jeremie Courreges-Anglas (2):
• Fixați un acces nealiniat pe OpenBSD / sparc64
• Lipseste includerea pentru socket-flags TCP_NODELAY pe OpenBSD
• Matthias Andree (1):
• Face din nou openvpn-plugin.h din nou.
• Selva Nair (1):
• Treceți dimensiunea corectă a tamponului la GetModuleFileNameW ()
• Steffan Karger (11):
• Înregistrați cifrul negociat (NCP)
• Evitați overcopy 1 octet în x509_get_subject (ssl_verify_openssl.c)
• Încercați testele pentru unitățile criptate dacă nu este acceptat modul criptat
• openssl: verificați verificarea depășirii pentru opțiunea long -tls-cifru
• Adăugați o cheie de test DSA / pereche cert la tastele de probă
• Se calculează calculul amprentelor digitale
• mbedtls: fix -x509-track DoS de la distanță după autentificare (CVE-2017-7522)
• mbedtls: solicită tipuri compatibile cu șirul C pentru câmpul -x509-username-name
• Corectați scurgeri de memorie declanșabile la distanță (CVE-2017-7521)
• Restricționați --x509-alte tipuri de extensii de nume
• Fixați potențial dublu-liber în -x509-alt-nume de utilizator (CVE-2017-7521)
• Steven McDonald (1):
• Detectarea detecției gateway-ului cu domenii de rutare OpenBSD

Ce este nou în versiunea 2.4.2:

• auth-token: Asigurați-vă că jetoanele sunt șterse întotdeauna de-auth
• docs: Avertismentele fixe ale paginilor manuale descoperite prin rpmlint
• Efectuați --cipher / - auth nici mai explicit asupra riscurilor
• plugin: Fixați documentația tipo pentru type_mask
• plugin: Exportați secure_memzero () în plug-in-uri
• Fixați extractul_x509_field_ssl pentru obiecte externe, v2
• În plugin-ul auth-pam ștergeți parola după utilizare
• curățare: îmbinați pachetul_id_alloc_outgoing () în pachet_id_write ()
• Nu executați teste de unități packet_id pentru - buildable-crypto
• Rezoluția Fix Changes.rst
• Fixați scurgerea memoriei în x509_verify_cert_ku ()
• mbedtls: verificați corect valoarea returnată în pkcs11_certificate_dn ()
• Restaurați parametrii de cadru pre-NCP pentru sesiuni noi
• Ștergeți întotdeauna numele de utilizator / parola din memorie la eroare
• Considerente privind securitatea documentului tls-cript în pagina man
• Nu afirmați când primiți pachete de control prea mari (CVE-2017-7478)
• Deconectați pachetele în loc să afirmați dacă numărul de pachete se derulează (CVE-2017-7479)
• Setați o metrică de interfață scăzută pentru adaptorul de robinet atunci când bloc-out-dns este în uz

Ce este nou în versiunea 2.4.1:

• Antonio Quartulli (4):
• încercați să adăugați o rută IPv6 chiar și atunci când nu a fost configurată adresa IPv6
• stabiliți comportamentul de redirecționare a gateway-ului atunci când o ruta implicită IPv4 nu există
• CRL: folosiți time_t în loc de struct timepec pentru a stoca ultima mtime
• ignorați numele-gazdă la distanță-aleator dacă este furnizată o gazdă numerică
• Christian Hesse (7):
• om: definiți formatul pentru opțiunea alternativă
• sistemd: Utilizați unelte automake pentru a instala fișiere unitate
• sistemd: Nu vă deplasați pe RuntimeDirectory
• systemd: Adăugați mai multe caracteristici de securitate pentru unitățile sistemice
• Curățați manevrarea căii pluginului
• plugin: Eliminați GNUismul în generația openvpn-plugin.h
• stabiliți tipografia în mesajul de notificare
• David Sommerseth (6):
• gestionarea: & gt; operațiunea REMOTE ar suprascrie indicatorul de schimbare
• management: eliminați un bloc redundant #ifdef
• git: Mergeți .gitignore fișiere într-un singur fișier
• systemd: mutați semnalizarea READY = 1 într-un punct anterior
• plugin: Îmbunătățiți manevrarea directorului implicit de plug-in
• curățare: eliminați funcțiile greșite de procesare env
• Emmanuel Deloget (8):
• OpenSSL: verificați motivul SSL, nu eroarea completă
• OpenSSL: nu folosiți accesul direct la interfața X509_STORE_CTX
• OpenSSL: nu folosiți accesul direct la SSL_CTX intern
• OpenSSL: nu utilizați acces direct la interfața X509_STORE internă
• OpenSSL: nu utilizați acces direct la interfața X509_OBJECT
• OpenSSL: nu folosiți accesul direct la RSA_METHOD intern
• OpenSSL: simbolurile SSLeay nu mai sunt disponibile în OpenSSL 1.1
• OpenSSL: utilizați EVP_CipherInit_ex () în loc de EVP_CipherInit ()
• Eric Thorpe (1):
• Fixați clădirea utilizând MSVC
• Gert Doering (5):
• Adăugați openssl_compat.h pentru openvpn_SOURCES
• Fixați "--dev null"
• Fixați instalarea rutei gazdă IPv6 la serverul VPN atunci când utilizați serviciul.
• Face ENABLE_OCC să nu mai depindă de! ENABLE_SMALL
• Pregătirea pentru lansare v2.4.1 (ChangeLog, version.m4)
• Gisle Vanem (1):
• Crash în opțiuni.c
• Ilya Shipitsin (2):
• Rezolvați mai multe probleme legate de travici
• travis-ci: eliminați fișierele neutilizate
• Olivier Wahrenberger (1):
• Fixați clădirea cu LibreSSL 2.5.1 prin curățarea unui hack.
• Selva Nair (4):
• Actualizați opțiunile de împachetare a opțiunilor de împingere
• Eliberați întotdeauna adresa dhcp în fișierul close_tun () pe Windows.
• Adăugați un cec pentru -Wl, - opriți suportul în linker
• Verificați verificarea membrilor grupului în cadrul serviciului interactiv pentru a lucra cu domeniile
• Simon Matter (1):
• Fixați segfault atunci când utilizați crypto lib fără AES-256-CTR sau SHA256
• Steffan Karger (8):
• Îmbunătățește în mai mare măsură stilul Allman și brațele în jurul condițiilor
• Utilizați SHA256 pentru digestul intern, în loc de MD5
• OpenSSL: 1.1 spargere - configurați fix pe autoconf vechi
• Remediați tipurile în WIN32 socket_listen_accept ()
• Eliminați variabilele duplicat X509 env
• Corectează non-C99-compliant construieste: nu folosesc const dimensiune_t ca lungime de array
• Deprecate - de tip cert
• Fii mai puțin pretențios în legătură cu extensiile cheieUsage

Ce este nou în versiunea 2.4.0:

• Christian Hesse (1):
• anul de actualizare în mesajul privind drepturile de autor
• David Sommerseth (2):
• man: Îmbunătățiți secțiunea --keepalive
• Documentați opțiunea - auth-token
• Gert Doering (3):
• Reparați subnetul de topologie pe FreeBSD 11
• Reparați subnetul de topologie pe OpenBSD
• Pregătirea lansării versiunii v2.3.14
• Lev Stipakov (1):
• Puneți pachete direcționate recursiv
• Selva Nair (4):
• Sprijină --block-out-dns pe mai multe tuneluri
• Atunci când analizați "--setenv opt xx ..", asigurați-vă că există un al treilea parametru
• Hărțile repornește semnalele de la buclă de evenimente la SIGTERM în timpul așteptării de notificare de ieșire
• Specificați corect adresa serverului implicit dhcp în pagina man
• Steffan Karger (1):
• Curățați format_hex_ex ()

Ce este nou în versiunea 2.3.9:

• Arne Schwabe (2):
• Semnalați sfârșurile lipsă ale fișierelor inline ca avertismente
• Remediați comanda e473b7c dacă se întâmplă ca un fișier inline să aibă o întrerupere a liniei exact la limita tampon
• Gert Doering (3):
• Efectuați un mesaj de eroare semnificativ în cazul în care --daemon se oprește să ceară parole.
• Document - modificări și consecințe ale mesajului (--askpass, --auth-nocache).
• Pregătirea pentru lansare v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr la închiderea interfeței linux tun
• James Geboski (1):
• Fixați --ascpass care nu permite introducerea parolei prin stdin
• Steffan Karger (5):
• scrieți fișierul pid imediat după ce daemonizați
• Faceți __func__ să lucreze și cu Visual Studio
• fixați regresia: introduceți parola înainte de a deveni daemon
• Fixați utilizând interfața de gestionare pentru a obține parole.
• Verificați verificarea depășirii în openvpn_decrypt ()

Ce este nou în versiunea 2.3.8:

• Arne Schwabe (2):
• Semnalați sfârșurile lipsă ale fișierelor inline ca avertismente
• Remediați comanda e473b7c dacă se întâmplă ca un fișier inline să aibă o întrerupere a liniei exact la limita tampon
• Gert Doering (3):
• Efectuați un mesaj de eroare semnificativ în cazul în care --daemon se oprește să ceară parole.
• Document - modificări și consecințe ale mesajului (--askpass, --auth-nocache).
• Pregătirea pentru lansare v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr la închiderea interfeței linux tun
• James Geboski (1):
• Fixați --ascpass care nu permite introducerea parolei prin stdin
• Steffan Karger (5):
• scrieți fișierul pid imediat după ce daemonizați
• Faceți __func__ să lucreze și cu Visual Studio
• fixați regresia: introduceți parola înainte de a deveni daemon
• Fixați utilizând interfața de gestionare pentru a obține parole.
• Verificați verificarea depășirii în openvpn_decrypt ()

Ce este nou în versiunea 2.3.6:

• Andris Kalnozols (2):
• Fixați unele greșeli în pagina man.
• Nu modificați câmpul de nume de utilizator x509 pentru argumentele de caz mixt.
• Arne Schwabe (1):
• Remediați rutele serverului care nu funcționează în subnetul de topologie cu --server [v3]
• David Sommerseth (4):
• Îmbunătățiți raportarea erorilor la accesarea fișierelor --client-config-dir și -ccd-exclusive
• Nu lăsa openvpn_popen () să țină zombi în jur
• Adăugați fișier unitate sistemică pentru OpenVPN
• sistemd: Utilizați funcții sistemate pentru a lua în considerare disponibilitatea sistemelor
• Gert Doering (4):
• Puneți în primire fe80 :: pachete în tăcere acum.
• Remediați erorile dependente de platformă t_lpback.sh
• Apelați asistenții de script init cu cale explicită (./)
• Pregătirea pentru lansare v2.3.5 (ChangeLog, version.m4)
• Heiko Hund (1):
• rafinați afirmația pentru a permite alte moduri decât CBC
• Hubert Kario (2):
• ocsp_check - verificarea semnăturii și rezultatele certării sunt separate
• ocsp_check - verificați dublu dacă ocsp nu a raportat nicio eroare în execuție
• James Bekkema (1):
• Fixați socket-flag / TCP_NODELAY pe Mac OS X
• James Yonan (6):
• S-au rezolvat mai multe cazuri de declarații după declarații.
• În socket.c, o problemă fixă ​​în cazul în care valoarea neinitializată (err) este trecută la gai_strerror.
• Exprimarea explicită a celui de-al treilea parametru al setockopt la const void * pentru a evita avertizarea.
• MSVC 2008 nu acceptă dimensionarea unei matrice cu un const var, nici folosind% z ca specificator de format printf.
• Definiți PATH_SEPARATOR pentru construirea MSVC.
• S-au rezolvat unele probleme de compilare cu show_library_versions ()
• Jann Horn (1):
• Eliminați complexitatea cuadratoare de la openvpn_base64_decode ()
• Mike Gilbert (1):
• Adăugați verificarea configurației pentru calea către parola sistemică-cere-parolă
• Philipp Hagemeister (2):
• Adăugați topologia în fișierul de configurare server de probă
• Implementați adăugarea rutei on-link pentru iproute2
• Samuel Thibault (1):
• Asigurați-vă că fișierele de conectare client sunt întotdeauna șterse
• Steffan Karger (13):
• Eliminați funcția fără efect (cipher_ok () întotdeauna a revenit la adevărat).
• Eliminați funcțiile de împachetare care nu sunt necesare în crypto_openssl.c
• Remedierea bug-ului care refuză în mod incorect reprezentarea eku în ecu în construcții polare
• Actualizați README.polarssl
• Redenumiți ALLOW_NON_CBC_CIPHERS la ENABLE_OFB_CFB_MODE și adăugați-le la configurare.
• Adăugați o verificare adecvată pentru modurile de criptare (CBC sau OFB / CFB)
• Îmbunătățiți - să afișeze cipurile pentru a afișa dacă un cod poate fi utilizat în modul cheie statică
• Extindeți testele t_lpback pentru a testa toate cipurile raportate de --show-ciphers
• Nu ieșiți din daemon dacă deschideți sau parsați CRL-ul.
• Fixați tipografia în cipher_kt_mode_ {cbc, ofb_cfb} () doxygen.
• Fixați regresia cu chei private protejate prin parolă (polarssl)
• ssl_polarssl.c: fix include și face exprimări explicit
• Eliminați variabilele neutilizate din ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Fixați "cod = 995" bug-ul cu driverul de tapet NDIS6.

Ce este nou în versiunea 2.3.4:

• Fixați pagina man și scriptul OSCP: tls_serial_ {n} este zecimal
• Remediați is_ipv6 în cazul interfeței de robinet.
• Opțiunea de ștergere a adresei / rutei IPv6 pentru Win8
• Adăugați rapoarte privind versiunea bibliotecii SSL.
• Curățare minoră t_client.sh
• Reparați --multihome pe FreeBSD pentru prize IPv4.
• Rescrieți secțiunea manpage despre --multihome
• Mai multe actualizări legate de IPv6 în pagina man openvpn.
• Condiționați apelurile la print_default_gateway! ENABLE_SMALL
• Pregătirea pentru lansare v2.3.4 (ChangeLog, version.m4)
• Utilizați strtoull () nativ cu MSVC 2013.
• Atunci când tls-version-min este nespecificat, reveniți la versiunea originală.
• Modificați semnătura hash în x509_get_sha1_hash (), remediază avertismentul compilatorului.
• Fixați OCSP_check.sh pentru a utiliza și zecimale pentru verificarea stdout.
• Fixați sistemul de construire pentru a accepta locațiile de bibliotecă de criptare non-sistem pentru pluginuri.
• Efectuați exportul de serii env consecvent între construirile OpenSSL și PolarSSL.
• Fixați selecția metodei SOCKSv5
• Fixați tipografia în scriptul de construire a eșantionului pentru a utiliza LDFLAGS

Ce este nou în versiunea 2.3.3:

• pkcs11: utilizați cheia generică evp în loc de rsa
• Adăugați suport pentru dispozitivele utun sub Mac OS X
• Adăugați asistență pentru a ignora opțiunile specifice.
• Adăugați o notă ce setenv opt face pentru OpenVPN & 2.3.3
• Adăugați raportarea versiunii UI la setul de bază push-peer-info.
• Remediați eroarea de compilare în ssl_openssl introdusă de patch-ul polar extern de gestionare
• Fixați afirmația atunci când SIGUSR1 este primit în timp ce getaddrinfo are succes
• Adăugați avertisment pentru utilizarea variabilelor blocului de conexiuni după blocurile de conectare
• Introduceți verificarea de siguranță pentru opțiunile http proxy
• man page: Actualizați pagina man despre variabila de mediu tls_digest_ {n}
• Eliminați opțiunea de configurare --disable-eurephia configure
• plugin: Extindeți API-ul plug-in v3 pentru a identifica implementarea SSL utilizată
• autoconf: Fix tipo
• Fișierele de verificare a fișierelor sunt verificate când se utilizează --chrootul
• Document authfile pentru serverul de șosete
• Remediați exemplele IPv6 în t_client.rc-sample
• Fixați scurgerea de memorie lentă pe fiecare renegociere a clientului.
• t_client.sh: ignorați câmpurile din "ip-6 route show" ieșire care denaturează rezultatele.
• Creați codul și documentația pentru --remote-random-hostname consistent.
• Reduceți IV_OPENVPN_GUI_VERSION = la IV_GUI_VER =
• Problema documentului cu --chroot, / dev / urandom și PolarSSL.
• Redenumiți "struct route" la "struct route_ipv4"
• Înlocuiți elementele structurate copiate, inclusiv
• Soluție lipsă SSL_OP_NO_TICKET în versiunile anterioare OpenSSL
• Încărcați întotdeauna certificate intermediate dintr-un fișier PKCS # 12
• Suportă nume de adaptoare non-ASCII TAP pe Windows
• Suportă caractere non-ASCII în calea tmp Windows
• Negocierea versiunii TLS
• A adăugat "setenv opt" directivă.
• Stabiliți parola SSL_OP_NO_TICKET în contextul SSL pentru a construi OpenSSL, pentru a dezactiva reluarea sesiunii de stare TLS.
• Remediați ignorarea falsă a opțiunilor de configurare împinsă (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - management-cheie externă pentru PolarSSL
• external_pkcs1_sign: Suport non-RSA_SIG_RAW hash_ids
• Textul de eroare corect când nu este prezent niciun dispozitiv Windows TAP
• Aveți nevoie de o versiune 1.2.x PolarSSL
• tls_ctx_load_ca: Îmbunătățiți mesajele de eroare ale certificatelor
• Eliminați intrările de cifre duplicat din tabelul de traducere TLS.
• Fixați interacțiunea de configurare cu bibliotecile statice OpenSSL
• Nu treceți structul tls_session * ca fiind void * în key_state_ssl_init ().
• Necesită polarssl & gt; = 1.2.10 pentru build-urile polarssl, care fixează CVE-2013-5915.
• Utilizați RSA_generate_key_ex () în loc de depreciat, RSA_generate_key ()
• De asemenea, actualizați apelurile TLSv1_method () în codul de asistență pentru apelurile SSLv23_method ().
• Actualizați mesajele de eroare TLSv1 către SSLv23 pentru a reflecta modificările de la comitetul 4b67f98
• Dacă este furnizat --tls-cifrul, faceți parcurgerea listei --show-tls.
• Adăugați numele de listă comună de șabloane specifice openssl la ssl.c.
• Adăugați suport pentru client-cert-not-required for PolarSSL.
• Fixați "." în descrierea lui utun.

Ce este nou în versiunea 2.3.2:

• Numai avertismentele de scriere a script-urilor atunci când se utilizează un script. Îndepărtați mențiunea stricătoare a sistemului de script-securitate.
• Mutați setările scriptului de utilizator în funcția set_user_script
• Mutați verificarea accesului fișierului script în set_user_script
• Furnizați un mesaj de avertizare mai precis
• Fixați prăbușirea indicatoarelor NULL în route_list_add_vpn_gateway ().
• Remediați problema cu tunelul UDP din cauza structurilor pktinfo greșite.
• Pregătirea pentru v2.3.2 (ChangeLog, version.m4)
• Apăsați întotdeauna setul de bază de valori de informație pe server la server.
• faceți din nou "explicită-ieșire-notificare" din nou
• Remediați proto tcp6 pentru modurile server și non-P2MP
• Fixați execuția scriptului Windows când este apelat din cârligele de script
• Soluție fixă ​​de translație a codului tls-șablon în openssl-build
• Utilizarea fixă ​​a stalelor definește USE_SSL în ENABLE_SSL
• Fixați segfault atunci când activați plug-in-uri pf

Ce este nou în versiunea 2.2.2:

• Avertizați numai despre pachetele IPv6 care nu sunt abordate o singură dată
• Adăugați o pauză lipsă între "cazul IPv4" și "caz IPv6", care conduc la
• Versiunea driver-ului de la versiunea 9.8 la 9.9
• Mesaj de eroare jurnal și ieșire pentru "win32, modul tun, atingeți versiunea driver 9.8"
• Părți legate de pkcs11 de la 7a8d707237bb18 la 2.2 branch

Ce este nou în versiunea 2.2.2:

/ li>

Ce este nou în versiunea 2.2 Beta 5:

• Studio 2008.

Ce este nou în versiunea 2.1.4:

„)

Ce este nou în versiunea 2.1:

• Problema de securitate Windows:
• Vulnerabilitatea escaladării privilegiilor locale potențiale fixe în serviciul Windows. Serviciul Windows nu a citat în mod corespunzător numele fișierului executabil transmis către CreateService. Un atacător local cu acces la scriere în directorul rădăcină C: ar putea crea un executabil care să fie rulat cu același nivel de privilegiu ca și serviciul Windows OpenVPN. Cu toate acestea, deoarece utilizatorii non-Administratori nu dispun în mod normal de permisiunea de scriere pe C: , această vulnerabilitate nu este în general explozibilă, cu excepția versiunilor mai vechi ale Windows (cum ar fi Win2K) unde permisiunile implicite pentru C: ar permite oricărui utilizator să creeze fișiere acolo.
• Credit:
• Scott Laurie, MWR InfoSecurity
• A fost adăugat un sistem de construire alternativă bazat pe Python pentru Windows utilizând Visual Studio 2008 (în directorul win).
• Dacă întrerupeți într-un mod non-grațios, încercați să executați do_close_tun în init.c înainte de ieșirea daemon pentru a vă asigura că interfața tun / tap este închisă și că toate rutele adăugate sunt șterse.
• A fost rezolvată o problemă în care AUTH_FAILED nu a fost difuzat corespunzător clientului atunci când este dată o parolă proastă pentru reauth la jumătatea sesiunii, determinând conexiunea să eșueze fără o indicație de eroare.
• Nu avansați la următorul profil de conexiune pe erorile AUTH_FAILED.
• S-a rezolvat o problemă în interfața de administrare care ar putea cauza un proces de blocare a procesorului cu 100% în modul -management-client dacă clientul de interfață de gestionare a fost deconectat la punctul în care sunt solicitate acreditările.
• A fost rezolvată o problemă în cazul în care dacă reneg-sec a fost setat la 0 pe client, astfel încât valoarea de pe partea de server să aibă prioritate, funcția auth_deferred_expire_window ar reveni incorect o perioadă de fereastră de 0 secunde. În acest caz, perioada de fereastră corectă ar trebui să fie perioada ferestrei de strângere a mâna.
• Modificat "& gt; PASSWORD: Verificarea a eșuat" interfață de gestionare pentru a include un șir de motiv client:
• & gt; PASSWORD: Verificarea a eșuat:
• 'AUTH_TYPE' ['REASON_STRING']]
• Activați întoarcerea exponențială în retransmiterea stratului de fiabilitate.
• Setați tampoanele socket (SO_SNDBUF și SO_RCVBUF) imediat după crearea socket-ului, mai degrabă decât să așteptați până după conectare / ascultare.
• Optimizări de performanță pentru interfața de gestionare:
• 1. Adăugat comanda env-filter MI pentru a efectua filtrarea pe env vars trecut ca parte a --management-client-auth 2. man_write va încerca acum să cumuleze ieșirea în blocuri mai mari (până la 1024 octeți) pentru un i / o mai eficient
• Problema minoră fixă ​​în driverul Windows TAP DEBUG construiește unde s-au imprimat incorect șiruri de caractere unicode terminate.
• Problemă fixă ​​pe Windows cu compilator MSVC, unde suportul TCP_NODELAY nu a fost compilat.
• Îmbunătățiri proxy:
• Îmbunătățirea abilității http-auth & quot; auto & quot; pentru a detecta dinamic metoda auth cerută de proxy. Adăugat http-auth "auto-nct" steag pentru a respinge metodele slabe de autentificare proxy. A fost adăugată metoda de autentificare a proxy-ului HTTP. Eliminate apelurile openvpn_sleep străine de la proxy.c.
• Implementarea directivelor http-proxy-override și http-proxy-fallback pentru a facilita utilizatorilor de interfață client OpenVPN să pornească un fișier de configurare client pre-existent cu opțiuni proxy sau să se adapteze adaptiv la o conexiune proxy dacă o conexiune directă eșuează.
• Implementat un canal cheie / valoare auth de la client la server.
• Problema fixe în cazul în care legitimația rău furnizate de interfața de management pentru proxy HTTP autentificare de bază ar merge într-o buclă-o nouă încercare eșuează infinit în loc de requerying interfata de management pentru noi legitimația.
• Adăugat suport pentru depanarea MSVC a openvpn.exe în settings.in:
• # Construiți versiune de openvpn.exe depanare! Defini PRODUCT_OPENVPN_DEBUG
• Extinderea DNS multi-adresă implementată în câmpul de rețea al comenzilor de rută. Când doriți o singură adresă IP dintr-o extensie DNS cu mai multe adrese, utilizați prima adresă, mai degrabă decât o selecție aleatorie.
• Adăugată - opțiunea registrului-dns pentru Windows. Fix unele probleme pe Windows cu crearea de --log, subproces pentru executarea comenzii, și redirecționarea stdout / stderr.
• Fixed o problemă în cazul în care transmisiile cerere de sarcină utilă pe canalul de control TLS (cum ar fi AUTH_FAILED) care au loc în timpul sau imediat după o renegociere TLS ar putea fi abandonată.
• A fost adăugat avertismentul despre opțiunea de la distanță de la pagina man.