OpenVPN

OpenVPN to open source, w pełni funkcjonalne rozwiązanie VPN wspierane przez SSL (Secure Sockets Layer) i zaprojektowane tak, aby mogło obsługiwać szeroki zakres funkcji serwera OpenVPN, w tym sieci VPN typu site-to-site, zdalne dostęp i bezpieczeństwo Wi-Fi.

Może być również używany do wdrażania rozwiązań zdalnego dostępu w skali przedsiębiorstwa z przełączaniem awaryjnym, szczegółowymi kontrolkami dostępu i równoważeniem obciążenia, a także uproszczonymi interfejsami OpenVPN Connect i klientami OpenVPN dla szerokiej gamy systemów operacyjnych.

Projekt implementuje zarówno rozszerzenia sieci 2, jak i 3 protokołu OSI, używając standardowych protokołów TLS (Transport Layer Security) i SSL (Secure Sockets Layer). Jest kompatybilny z systemami GNU / Linux, Mac OS X, Android, iOS i Microsoft Windows.

OpenVPN został zaprojektowany do obsługi elastycznych metod uwierzytelniania klienta w oparciu o certyfikaty, uwierzytelnianie dwuskładnikowe i karty inteligentne. Pamiętaj jednak, że nie jest to serwer proxy aplikacji sieci Web i nie działa przez przeglądarkę internetową.

Ponadto serwer dostępu OpenVPN został zaprojektowany do obsługi wielu konfiguracji, w tym szczegółowego i bezpiecznego zdalnego dostępu do wewnętrznych usług sieciowych, a także prywatnych aplikacji i zasobów sieciowej w chmurze, zapewniając jednocześnie bardzo precyzyjną kontrolę.

Wiele małych i średnich firm zdecydowało się skorzystać z OpenVPN, aby zapewnić swoim pracownikom zdalną obsługę połączeń z pracy w domu lub za granicą.

Chociaż projekt jest w rzeczywistości usługą demona, która działa w tle i może być dostępna tylko za pośrednictwem emulatora terminala X11 lub konsoli systemu Linux, istnieje wiele interfejsów GUI (Graphical User Interface), pozwalających na koniec - użytkownicy mogą łatwo łączyć się z określonym serwerem OpenVPN przy użyciu predefiniowanych plików konfiguracyjnych.

Podsumowując, OpenVPN jest świetną, otwartą wersją i darmową alternatywą dla podobnych, ale zastrzeżonych lub trudnych do wdrożenia rozwiązań VPN, takich jak L2TP (Layer 2 Tunneling Protocol), PPTP (Protokół Tunelowania Punkt-Punkt), i IPsec (Internet Protocol Security).

Co nowego w tej wersji:

• David Sommerseth (1):
• management: Ostrzegaj, jeśli port TCP jest używany bez hasła
• Gert Doering (3):
• Prawidłowa wersja w dzienniku zmian - powinna być 2.4.5, była błędna jako 2.4.4
• Napraw potencjalny podwójny darmowy () w usłudze interaktywnej (CVE-2018-9336)
• przygotowanie wydania v2.4.6 (ChangeLog, version.m4, Changes.rst)
• Gert van Dijk (1):
• manpage: popraw opis --status i --status-version
• Joost Rijneveld (1):
• Utwórz zewnętrzny kod dopasowujący tls do kodu powrotu
• Selva Nair (3):
• Usuń trasę IPv6 do "połączonego". sieć w pobliżu tuna
• Zarządzanie: ostrzegaj hasłem tylko wtedy, gdy opcja jest w użyciu
• Unikaj przepełnienia w obliczeniach czasu czuwania
• Simon Matter (1):
• Dodaj brakujący #ifdef SSL_OP_NO_TLSv1_1 / 2
• Steffan Karger (1):
• Sprawdź więcej danych w kanale kontrolnym

Co nowego w wersji:

• Antonio Quartulli (1):
• Zignoruj ​​auth-nocache dla auth-user-pass, jeśli uwierzytelniony token jest wciśnięty
• David Sommerseth (3):
• crypto: Włącz sprawdzanie odcisków palców SHA256 w - weryfikuj-hash
• copyright: zaktualizuj teksty licencji GPLv2
• auth-token z auth-nocache fix broke --disable-crypto builds
• Emmanuel Deloget (8):
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznej wersji X509
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznej strony EVP_PKEY
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego RSA
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznej strony DSA
• OpenSSL: wymusza użycie met- & gt; nazwa jako niestanowiącej, gdy zwolniamy () to
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznej strony EVP_MD_CTX
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznej strony EVP_CIPHER_CTX
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego HMAC_CTX
• Gert Doering (6):
• Napraw zachowanie NCP przy ponownym połączeniu TLS.
• Usuń błędne ograniczenie maksymalnej liczby argumentów dla --plugin
• Naprawiono błąd krawędzi dla klientów, którzy nie ustawili szyfrów w pustym pliku PUSH_REPLY.
• Napraw potencjalne 1-bajtowe nadpisanie w analizie opcji TCP.
• Napraw zdalnie wyzwalacz ASSERT () na zniekształconym pakiecie IPv6.
• Przygotowanie do wydania v2.4.3 (ChangeLog, version.m4, Changes.rst)
• Guido Vranken (6):
• refactor my_strupr
• Napraw 2 wycieki pamięci w ramach procedury uwierzytelniania proxy
• Napraw wyciek pamięci w add_option () dla opcji "połączenie"
• Upewnij się, że tablica opcji p [] ma zawsze wartość NULL
• Naprawienie dereferencji o wartości zerowej w establish_http_proxy_passthru ()
• Zapobiegaj odczytom OOB dwóch rodzajów bufora stosów i zawieszeniu w przypadku nieprawidłowych danych wejściowych
• Jeremie Courreges-Anglas (2):
• Napraw niezaszyfrowany dostęp na OpenBSD / sparc64
• Missing include dla flag flag TCP_NODELAY na OpenBSD
• Matthias Andree (1):
• Uczyń ponownie openvpn-plugin.h.
• Selva Nair (1):
• Przekaż prawidłowy rozmiar bufora do GetModuleFileNameW ()
• Steffan Karger (11):
• Zapisz wynegocjowany (NCP) szyfr
• Unikaj nadmiaru 1 bajta w pliku x509_get_subject (ssl_verify_openssl.c)
• Pomiń testy jednostek tls-crypt, jeśli nie jest wymagany tryb kryptograficzny
• openssl: sprawdzanie przepełnienia poprawek dla długiej opcji - tls-cipher
• Dodaj klucz testowy / certyfikat DSA do przykładowych kluczy
• Napraw obliczenie linii papilarnych mbedtls
• mbedtls: fix --x509-track zdalne uwierzytelnianie DoS (CVE-2017-7522)
• mbedtls: wymagają typów zgodnych z ciągami C dla --x509-username-field
• Napraw zdalne wycieki pamięci (CVE-2017-7521)
• Ogranicz - typy rozszerzeń - 509-alt-username
• Napraw potencjalne podwójne zwolnienie w --x509-alt-username (CVE-2017-7521)
• Steven McDonald (1):
• Napraw wykrywanie bramy za pomocą domen routingu OpenBSD

Co nowego w wersji 2.4.2:

• auth-token: Upewnij się, że tokeny są zawsze wymazywane de-auth
• docs: Naprawiono ostrzeżenia stron man odkrywane przez rpmlint
• Make -cipher / - auth nie mówi nic więcej o zagrożeniach
• wtyczka: Napraw błędy dokumentacji dla maski_typu
• wtyczka: Eksportuj secure_memzero () do wtyczek
• Napraw extract_x509_field_ssl dla obiektów zewnętrznych, v2
• W wtyczce auth-pam usuń hasło po użyciu
• cleanup: merge packet_id_alloc_outgoing () do packet_id_write ()
• Nie uruchamiaj testów jednostkowych packet_id dla kompilacji --disable-crypto
• Napraw układ Changes.rst
• Napraw wyciek pamięci w x509_verify_cert_ku ()
• mbedtls: poprawnie sprawdź wartość zwracaną w pkcs11_certificate_dn ()
• Przywróć parametry klatki wstępnej NCP dla nowych sesji
• Zawsze usuwaj nazwę użytkownika / hasło z pamięci przy błędzie
• Uwagi dotyczące bezpieczeństwa tls-crypt na stronie man
• Nie zezwalaj na odbieranie zbyt dużych pakietów kontrolnych (CVE-2017-7478)
• Upuść pakiety zamiast sprawdzać, czy identyfikator pakietu przewija się (CVE-2017-7479)
• Ustaw niską wartość interfejsu dla adaptera przejściowego, gdy blok-zewnętrzny-dns jest w użyciu

Co nowego w wersji 2.4.1:

• Antonio Quartulli (4):
• spróbuje dodać trasę IPv6, nawet jeśli nie skonfigurowano adresu IPv6
• Naprawiono zachowanie bramki przekierowania, gdy domyślna trasa IPv4 nie istnieje
• CRL: użyj time_t zamiast struct timespec do przechowywania ostatniego mtime
• ignoruje zdalną-losową nazwę hosta, jeśli host numeryczny jest dostarczony
• Christian Hesse (7):
• man: popraw formatowanie dla opcji alternatywnej
• systemd: używaj narzędzi automake do instalowania plików jednostek
• systemd: nie ścigaj się w RuntimeDirectory
• systemd: Dodaj więcej funkcji bezpieczeństwa dla jednostek systemowych
• Oczyść obsługę ścieżek wtyczek
• plugin: Usuń GNUism w generacji openvpn-plugin.h.
• poprawiono literówkę w wiadomości z powiadomieniem
• David Sommerseth (6):
• zarządzanie: & gt; Operacja REMOTE spowoduje nadpisanie wskaźnika zmiany jednostki
• zarządzanie: Usuń nadmiarowy blok #ifdef
• git: Scal pliki .gitignore w jeden plik
• systemd: Przenieś sygnalizację GOTOWE = 1 do wcześniejszego punktu
• Wtyczka: popraw obsługę domyślnego katalogu wtyczek
• cleanup: Usuń wadliwe funkcje przetwarzania env
• Emmanuel Deloget (8):
• OpenSSL: sprawdź przyczynę SSL, a nie pełny błąd
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego X509_STORE_CTX
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego SSL_CTX
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego X509_STORE
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego X509_OBJECT
• OpenSSL: nie używaj bezpośredniego dostępu do wewnętrznego RSA_METHOD
• OpenSSL: Symbole SSLeay nie są już dostępne w OpenSSL 1.1
• OpenSSL: użyj EVP_CipherInit_ex () zamiast EVP_CipherInit ()
• Eric Thorpe (1):
• Naprawianie budynku za pomocą MSVC
• Gert Doering (5):
• Dodaj openssl_compat.h do openvpn_SOURCES
• Napraw "--dev null"
• Naprawianie trasy hosta IPv6 na serwerze VPN podczas korzystania z iservice.
• Ustaw ENABLE_OCC nie jest już zależny od! ENABLE_SMALL
• Przygotowanie do wydania v2.4.1 (dziennik zmian, wersja.m4)
• Gisle Vanem (1):
• Awaria w options.c
• Ilya Shipitsin (2):
• Rozwiąż kilka problemów związanych z travis-ci
• travis-ci: usuń nieużywane pliki
• Olivier Wahrenberger (1):
• Napraw budynek za pomocą LibreSSL 2.5.1, czyszcząc hack.
• Selva Nair (4):
• Napraw aktualizację skrótu opcji push
• Zawsze zwalniaj adres dhcp w close_tun () w systemie Windows.
• Dodaj opcję sprawdzenia -Wl, --wrap w linkerze
• Napraw kontrolę członkostwa grupy użytkowników w usłudze interaktywnej do pracy z domenami
• Simon Matter (1):
• Naprawiono błąd segfault podczas korzystania z biblioteki kryptograficznej bez AES-256-CTR lub SHA256
• Steffan Karger (8):
• Bardziej wymuszaj styl Allmana i nawiasy klamrowe
• Używaj SHA256 dla wewnętrznego skrótu zamiast MD5
• OpenSSL: 1.1 fallout - popraw konfigurację na starym autoconf
• Napraw typy w WIN32 socket_listen_accept ()
• Usuń zduplikowane zmienne środowiskowe X509
• Napraw kompilacje niezgodne z C99: nie używaj const size_t jako długości tablicy
• Przestarzałe --ns-cert-type
• Bądź mniej wrażliwy na temat rozszerzeń keyUsage

Co nowego w wersji 2.4.0:

• Christian Hesse (1):
• zaktualizuj rok w wiadomości o prawach autorskich
• David Sommerseth (2):
• man: Popraw sekcję --keepalive
• Udokumentuj opcję --auth-token
• Gert Doering (3):
• Napraw podsieć topologii w FreeBSD 11
• Napraw podsieć topologii na OpenBSD
• Przygotowanie wydania wersji 2.3.14
• Lew Stipakow (1):
• Upuść rekurencyjnie przekierowane pakiety
• Selva Nair (4):
• Wsparcie --block-outside-dns w wielu tunelach
• Podczas parsowania "--setenv opt xx .." upewnij się, że trzeci parametr jest obecny
• Odwzoruj sygnały restartu z pętli zdarzeń na SIGTERM podczas oczekiwania na wyjście
• Prawidłowo podaj domyślny adres serwera dhcp na stronie man
• Steffan Karger (1):
• Wyczyść format_hex_ex ()

Co nowego w wersji 2.3.9:

• Arne Schwabe (2):
• Zgłoś brakujące endtagi pliku wbudowanego jako ostrzeżenia
• Napraw plik commit e473b7c, jeśli plik wstawiający ma przerwę wiersza dokładnie przy limicie bufora
• Gert Doering (3):
• Stwórz znaczący komunikat o błędzie, jeśli --daemon przeszkadza w pytaniu o hasła.
• Dokument - zmiany i konsekwencje demonów (--askpass, --auth-nocache).
• Przygotowanie do wydania v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr on close of linux tun interface
• James Geboski (1):
• Napraw --askpass nie pozwala na wprowadzenie hasła przez stdin
• Steffan Karger (5):
• Zapisz plik pid natychmiast po zakończeniu demona
• Ustaw __func__ również w Visual Studio.
• naprawiono regresję: hasło zapytania przed uzyskaniem statusu demona
• Napraw za pomocą interfejsu zarządzania, aby uzyskać hasła.
• Naprawiono sprawdzanie przepełnienia w openvpn_decrypt ()

Co nowego w wersji 2.3.8:

• Arne Schwabe (2):
• Zgłoś brakujące endtagi pliku wbudowanego jako ostrzeżenia
• Napraw plik commit e473b7c, jeśli plik wstawiający ma przerwę wiersza dokładnie przy limicie bufora
• Gert Doering (3):
• Stwórz znaczący komunikat o błędzie, jeśli --daemon przeszkadza w pytaniu o hasła.
• Dokument - zmiany i konsekwencje demonów (--askpass, --auth-nocache).
• Przygotowanie do wydania v2.3.8 (ChangeLog, version.m4)
• Holger Kummert (1):
• Del ipv6 addr on close of linux tun interface
• James Geboski (1):
• Napraw --askpass nie pozwala na wprowadzenie hasła przez stdin
• Steffan Karger (5):
• Zapisz plik pid natychmiast po zakończeniu demona
• Ustaw __func__ również w Visual Studio.
• naprawiono regresję: hasło zapytania przed uzyskaniem statusu demona
• Napraw za pomocą interfejsu zarządzania, aby uzyskać hasła.
• Naprawiono sprawdzanie przepełnienia w openvpn_decrypt ()

Co nowego w wersji 2.3.6:

• Andris Kalnozols (2):
• Napraw niektóre literówki na stronie podręcznika.
• Nie upcase x509-username-field dla argumentów mieszanych.
• Arne Schwabe (1):
• Napraw trasy serwerów nie działające w podsieci topologii za pomocą --server [v3]
• David Sommerseth (4):
• Popraw raportowanie błędów dotyczących dostępu do plików --client-config-dir i -ccd-exclusive
• Nie pozwól, aby openvpn_popen () trzymał zombie w pobliżu
• Dodaj plik systemd dla OpenVPN
• systemd: użyj funkcji systemd, aby rozważyć dostępność systemu
• Gert Doering (4):
• Upuść przychodzące fe80 :: pakiety w trybie cichym.
• Napraw błędy zależne od platformy t_lpback.sh
• Wywołaj pomocników skryptów init z jawną ścieżką (./)
• Przygotowanie do wydania v2.3.5 (ChangeLog, version.m4)
• Heiko Hund (1):
• poprawa asercji, aby umożliwić inne tryby niż CBC
• Hubert Kario (2):
• ocsp_check - wyniki weryfikacji podpisu i wyniki certyfikatu są oddzielne
• ocsp_check - sprawdź, czy ocsp nie zgłosił błędów w wykonaniu
• James Bekkema (1):
• Napraw flagę socket / TCP_NODELAY na Mac OS X
• James Yonan (6):
• Naprawiono kilka wystąpień deklaracji po wyciągach.
• W pliku socket.c naprawiono błąd, w którym niezainicjowana wartość (err) jest przekazywana do gai_strerror.
• Jawnie rzutuj trzeci parametr setsockopt na const void *, aby uniknąć ostrzeżenia.
• MSVC 2008 nie obsługuje wymiarowania tablicy ze zmienną stałą, ani używania% z jako specyfikatora formatu printf.
• Zdefiniuj PATH_SEPARATOR dla kompilacji MSVC.
• Naprawiono problemy z kompilacją z show_library_versions ()
• Jann Horn (1):
• Usuń kwadratową złożoność z openvpn_base64_decode ()
• Mike Gilbert (1):
• Dodaj sprawdzanie konfiguracji ścieżki do systemd-ask-password
• Philipp Hagemeister (2):
• Dodaj topologię w przykładowym pliku konfiguracyjnym serwera
• Zaimplementuj dodawanie trasy do łącza dla iproute2
• Samuel Thibault (1):
• Upewnij się, że pliki połączeń klienta są zawsze usuwane
• Steffan Karger (13):
• Usuń funkcję bez efektu (cipher_ok () zawsze zwraca true).
• Usuń niepotrzebne funkcje opakowania w crypto_openssl.c
• Napraw błąd, który niepoprawnie odrzuca reprezentację oid w ekukach polarnych
• Zaktualizuj README.polarssl
• Zmień nazwę ALLOW_NON_CBC_CIPHERS na ENABLE_OFB_CFB_MODE i dodaj do konfiguracji.
• Dodaj poprawne sprawdzenie trybów kryptograficznych (CBC lub OFB / CFB)
• Ulepsz --show-ciphers, aby pokazać, czy szyfr może być używany w statycznym trybie klawiszy
• Rozszerz testy t_lpback, aby przetestować wszystkie szyfry zgłoszone przez --show-ciphers
• Nie należy opuszczać demona, jeśli otwarcie lub analiza listy CRL zakończy się niepowodzeniem.
• Napraw błędy w pliku cipher_kt_mode_ {cbc, ofb_cfb} () doxygen.
• Napraw regresję z kluczami prywatnymi chronionymi hasłem (polarssl)
• ssl_polarssl.c: fix zawiera i sprawia, że ​​rzuca się wyraźnie
• Usuń nieużywane zmienne z ssl_verify_openssl.c extract_x509_extension ()
• TDivine (1):
• Napraw "kod = 995" błąd w sterowniku systemu Windows NDIS6.

Co nowego w wersji 2.3.4:

• Napraw stronę man i skrypt OSCP: tls_serial_ {n} jest dziesiętny
• Napraw is_ipv6 w przypadku interfejsu dotykowego.
• Poprawka adresu IPv6 / trasy dla Win8
• Dodaj raportowanie wersji biblioteki protokołu SSL.
• Drobne wyczyszczenia t_client.sh
• Napraw - gigulome na FreeBSD dla gniazd IPv4.
• Przepisz sekcję podręcznika o --multihome
• Więcej aktualizacji związanych z protokołem IPv6 na stronie man openvpn.
• Odkaż połączenia do print_default_gateway włączone! ENABLE_SMALL
• Przygotowanie do wydania v2.3.4 (dziennik zmian, wersja.m4)
• Użyj natywnego strtoull () z MSVC 2013.
• Gdy tls-version-min jest nieokreślona, ​​przywróć oryginalne podejście do wersji.
• Zmień sygnaturę skrótu w x509_get_sha1_hash (), naprawia ostrzeżenie kompilatora.
• Napraw adres OCSP_check.sh, aby również używać wartości dziesiętnych do weryfikacji standardowej.
• Napraw system kompilacji, aby akceptował niesystemowe lokalizacje bibliotek kryptograficznych dla wtyczek.
• Spraw, aby seryjny eksport env był zgodny z kompilacją OpenSSL i PolarSSL.
• Napraw metodę wyboru SOCKSv5
• Naprawiono literówkę w skrypcie przykładowej kompilacji, aby używać LDFLAGS

Co nowego w wersji 2.3.3:

• pkcs11: użyj ogólnego klucza ewakuacyjnego zamiast RSA
• Dodaj obsługę urządzeń utun w systemie Mac OS X
• Dodaj obsługę, aby ignorować określone opcje.
• Dodaj notatkę, co robi setenv opt dla OpenVPN & lt; 2.3.3
• Dodaj raportowanie wersji interfejsu użytkownika do podstawowego zestawu informacji push-peer-info.
• Napraw błąd kompilacji w ssl_openssl wprowadzony przez polarną łatkę zarządzania zewnętrznego
• Napraw asercję, gdy SIGUSR1 jest odbierany, gdy getaddrinfo się powiedzie
• Dodaj ostrzeżenie o używaniu zmiennych bloku połączeń po blokach połączeń
• Wprowadź kontrolę bezpieczeństwa dla opcji serwera proxy http
• strona podręcznika: Zaktualizuj stronę man o zmiennej środowiskowej tls_digest_ {n}
• Usuń opcję konfiguracji --disable-eurephia
• Wtyczka: Rozszerz interfejs API wtyczki w wersji 3, aby zidentyfikować zastosowaną implementację protokołu SSL
• autoconf: Fix litero
• Naprawiono sprawdzanie plików, gdy używany jest --chroot
• Plik authfile dokumentu dla serwera skarpet
• Napraw przykłady IPv6 w t_client.rc-sample
• Napraw wolny błąd w pamięci przy każdej renegocjacji klienta.
• t_client.sh: ignoruj ​​pola z "trasy po trasie ip-6" wyniki, które zniekształcają wyniki.
• Twórz kod i dokumentację dla --remote-random-hostname spójny.
• Zmniejsz IV_OPENVPN_GUI_VERSION = do IV_GUI_VER =
• Problem z dokumentem dla --chroot, / dev / urandom i PolarSSL.
• Zmień nazwę "struct route" na "struct route_ipv4"
• Zamień skopiowane elementy struktury na zawierające
• Obejście brakujące SSL_OP_NO_TICKET we wcześniejszych wersjach OpenSSL
• Zawsze ładuj pośrednie certyfikaty z pliku PKCS # 12
• Obsługa nazw kart TAP innych niż ASCII w systemie Windows
• Obsługa znaków spoza ASCII w ścieżce systemu Windows tmp
• Negocjacja wersji TLS
• Dodano opcję "setenv opt" przedrostek dyrektywy.
• Ustaw flagę SSL_OP_NO_TICKET w kontekście SSL dla kompilacji OpenSSL, aby wyłączyć przywracanie sesji bezstanowej TLS.
• Napraw fałszywe ignorowanie pukniętych opcji konfiguracji (trac # 349).
• Refactor tls_ctx_use_external_private_key ()
• - klucz zewnętrzny zarządzania dla PolarSSL
• external_pkcs1_sign: Obsługuje niehasery RSA_SIG_RAW
• Popraw tekst błędu, gdy nie ma urządzenia Windows TAP
• Wymagaj wersji 1.2.x PolarSSL
• tls_ctx_load_ca: Popraw komunikaty o błędach certyfikatów
• Usuń zduplikowane wpisy szyfrów z tabeli tłumaczeń TLS.
• Napraw konfigurację interakcji ze statycznymi bibliotekami OpenSSL
• Nie przekazuj struct tls_session * jako void * w key_state_ssl_init ().
• Wymagaj polarssl & gt; = 1.2.10 dla polarssl-builds, który naprawia CVE-2013-5915.
• Użyj RSA_generate_key_ex () zamiast przestarzałego, RSA_generate_key ()
• Również zaktualizuj wywołania TLSv1_method () w kodzie pomocniczym do połączeń SSLv23_method ().
• Zaktualizuj komunikaty o błędach TLSv1 do protokołu SSLv23, aby odzwierciedlić zmiany z zatwierdzenia 4b67f98
• Jeśli podano --tls-cipher, make --show-tls parsuj listę.
• Dodaj specyficzne dla OpenSl nazwy list szyfrowanych do ssl.c.
• Dodaj obsługę klienta-certyfikatu-nie-wymagane dla PolarSSL.
• Napraw ". & quot; w opisie utuna.

Co nowego w wersji 2.3.2:

• Wydrukuj ostrzeżenia o skrypcie tylko wtedy, gdy używany jest skrypt. Usuń bezpodstawną wzmiankę o systemie bezpieczeństwa skryptów.
• Przenieś ustawienia skryptu użytkownika do funkcji set_user_script
• Przenieś sprawdzanie dostępu do pliku skryptu do set_user_script
• Podaj dokładniejszy komunikat ostrzegawczy
• Naprawienie awarii NULL-pointer w route_list_add_vpn_gateway ().
• Napraw problem z tunelowaniem UDP spowodowanym niepoprawnymi strukturami pktinfo.
• Przygotowanie do wersji 2.3.2 (dziennik zmian, wersja.m4)
• Zawsze przesyłaj podstawowy zestaw informacji o peerach do serwera.
• Zrób "wyraźne wyjście-powiadom" pullable ponownie
• Napraw proto tcp6 dla trybów serwera i nie-P2MP
• Naprawianie wykonywania skryptów Windows po wywołaniu z haków skryptów
• Naprawiono błąd tłumaczenia tls-cipher w openssl-build
• Naprawiono użycie nieaktualnego określenia USE_SSL na ENABLE_SSL
• Napraw segfault podczas włączania wtyczek pf

Co nowego w wersji 2.2.2:

• Ostrzegaj tylko o niezałagowanych pakietach IPv6 raz
• Dodaj brakujące odstępy między "case IPv4" i "przypadek IPv6", prowadzący do
• Wersja sterownika stepowania z wersji 9,8 do 9,9
• Zapisz komunikat o błędzie i wyjdź dla opcji "win32, tryb tun, dotknij sterownika wersji 9.8"
• Przeniesiono powiązane elementy pkcs11 z 7a8d707237bb18 do gałęzi 2.2

Co nowego w wersji 2.2.2:

• Ostrzegaj tylko o niezarządzanych pakietach IPv6 raz

Co nowego w wersji 2.2 Beta 5:

• Naprawiono błąd powodujący błąd kompilacji z MS Visual Studio 2008.

Co nowego w wersji 2.1.4:

• Napraw problem z celami tras specjalnych ('remote_host ")
• Funkcja init_route () pozostawi nietkniętą listę netlist dla get_special_addr () ("remote_host" będącą jednym z nich).
• netlist jest na stosie, zawiera losowe śmieci, a netlist.len nie będzie wartością 0 - w ten sposób losowe dane stosu są kopiowane z netlist.data [], aż lista route_list jest pełna.

Co nowego w wersji 2.1:

• Problem z bezpieczeństwem systemu Windows:
• Naprawiono możliwość potencjalnej eskalacji uprawnień lokalnych w usłudze Windows. Usługa systemu Windows nie podała poprawnie nazwy pliku wykonywalnego przekazanego do usługi CreateService. Lokalny atakujący z uprawnieniami do zapisu do katalogu głównego C: mógł utworzyć plik wykonywalny, który byłby uruchamiany z tym samym poziomem uprawnień, co usługa OpenVPN dla systemu Windows. Jednakże, ponieważ użytkownicy nie-Administracyjni zwykle nie mają uprawnień do zapisu w C: , ta luka jest generalnie niemożliwa do wykorzystania, z wyjątkiem starszych wersji systemu Windows (takich jak Win2K), gdzie domyślne uprawnienia w C: pozwolą każdemu użytkownikowi na tworzenie tam plików.
• Kredyt:
• Scott Laurie, MWR InfoSecurity
• Dodano oparty na języku Python alternatywny system kompilacji dla systemu Windows przy użyciu programu Visual Studio 2008 (w katalogu win).
• Przerywając w sposób niekompletny, spróbuj wykonać do_close_tun w init.c przed zakończeniem demona, aby upewnić się, że interfejs tun / touch jest zamknięty, a wszelkie dodane trasy są usuwane.
• Naprawiono błąd, przez który AUTH_FAILED nie był poprawnie dostarczany do klienta, gdy złe hasło zostało podane dla reauth w trakcie sesji, powodując niepowodzenie połączenia bez wskazania błędu.
• Nie przechodź do następnego profilu połączenia po błędach AUTH_FAILED.
• Naprawiono błąd w interfejsie zarządzania, który mógł spowodować zawieszenie się procesu ze 100% wykorzystaniem procesora w trybie menedżera-klienta, jeśli klient interfejsu zarządzania rozłączył się w punkcie, w którym sprawdzane są referencje.
• Naprawiono błąd polegający na tym, że jeśli reneg-sec zostało ustawione na 0 na kliencie, tak że wartość po stronie serwera miałaby pierwszeństwo, funkcja auth_deferred_expire_window błędnie zwróciłaby okres okna wynoszący 0 sekund. W takim przypadku prawidłowym okresem okna powinien być okres okna uzgadniania.
• Zmodyfikowano & lt; & gt; PASSWORD: Weryfikacja nie powiodła się & quot; powiadomienie interfejsu zarządzania, aby uwzględnić ciąg przyczyn klienta:
• & gt; PASSWORD: Weryfikacja nie powiodła się:
• 'AUTH_TYPE' ['REASON_STRING']
• Włącz wykładniczy udział tłumienia w retransmitach warstwy niezawodności.
• Ustaw bufory gniazd (SO_SNDBUF i SO_RCVBUF) natychmiast po utworzeniu gniazda zamiast czekać, aż po połączeniu / odsłuchaniu.
• Optymalizacje wydajności interfejsu zarządzania:
• 1. Dodano polecenie MI z filtrem env, aby wykonać filtrowanie na zmiennych env przekazanych jako część --management-client-auth 2. man_write będzie teraz próbowało agregować dane wyjściowe do większych bloków (do 1024 bajtów) dla bardziej wydajnego i / o
• Naprawiono drobny problem w sterowniku Windows TAP. DEBUG kompilacji, w którym niepoprawnie drukowane były łańcuchy unicode zakończone błędem.
• Naprawiono problem w systemie Windows z kompilatorem MSVC, w którym nie było kompilacji TCP_NODELAY.
• Udoskonalenia proxy:
• Poprawiono możliwość http-auth "auto"; flaga, aby dynamicznie wykryć metodę uwierzytelniania wymaganą przez serwer proxy. Dodano http-auth "auto-nct" flag, aby odrzucić metody auth autoryzacji. Dodano metodę uwierzytelniania za pomocą serwera proxy HTTP. Usunięto zewnętrzne wywołania openvpn_sleep z proxy.c.
• Wdrożono dyrektywy zastępcze http-proxy i dyrektywy zastępcze http-proxy w celu ułatwienia interfejsom klienckim OpenVPN uruchomienia wcześniej istniejącego pliku konfiguracyjnego klienta z opcjami proxy lub adaptacyjnego powrotu do połączenia proxy w przypadku bezpośredniego połączenia kończy się niepowodzeniem.
• Zaimplementowano kanał uwierzytelniania klucz / wartość od klienta do serwera.
• Naprawiono problem polegający na tym, że złe kredyty dostarczone przez interfejs zarządzania dla podstawowego uwierzytelniania HTTP Proxy trafiałyby do nieskończonej pętli "ponów-nie", zamiast wymagać interfejsu zarządzania dla nowych źródeł.
• Dodano obsługę debugowania MSVC pliku openvpn.exe w settings.in:
• # Zbuduj debugującą wersję pliku openvpn.exe! define PRODUCT_OPENVPN_DEBUG
• Wdrożono rozszerzenie DNS z wieloma adresami w polu sieci poleceń tras. Gdy pożądany jest tylko jeden adres IP z ekspansji DNS z wieloma adresami, użyj pierwszego adresu zamiast losowego wyboru.
• Dodano opcję -register-dns dla systemu Windows. Naprawiono niektóre problemy w systemie Windows z - logowaniem, tworzeniem podprocesów w celu wykonania polecenia i przekierowaniem standardowym / stdder.
• Naprawiono błąd, w wyniku którego mogły zostać usunięte transmisje ładunków aplikacji na kanale kontrolnym TLS (takim jak AUTH_FAILED), które wystąpiły podczas lub bezpośrednio po renegocjacji TLS.
• Dodano ostrzeżenie o opcji tls-remote na stronie podręcznika.