В версии OpenVPN 2.7.2 устранены 2 уязвимости и улучшена обработка паролей

Openvpn, широко используемый VPN-сервер, создающий зашифрованные туннели в сетях IP, выпустил версию 2.7.2 в качестве второго обновления серии 2.7.

В этом выпуске исправлены две уязвимости (CVE). Первая, CVE-2026-40215, устраняет ситуацию конкуренции в процессе установления соединения TLS, которая при определенных условиях могла привести к раскрытию данных пакетов из предыдущего соединения. Второй, CVE-2026-35058, исправляет вызов ASSERT на стороне сервера, вызванный некорректно сформированным пакетом, содержащим действительный ключ tls-crypt-v2.

Помимо исправлений безопасности, основной новой функцией является поддержка в интерфейсе управления очень длинных паролей, вводимых в многострочном формате с кодировкой base64. OpenVPN сигнализирует об этой возможности клиентам управления через версию управления 6. В этом выпуске также улучшены сообщения об ошибках для сбоев --verify-x509-name и уточнено ведение журнала, когда слишком длинные имена пользователей или пароли не могут быть записаны в буфер TLS.

Также включено несколько исправлений ошибок. Теперь OpenVPN правильно запрашивает пароль из интерфейса управления, когда файл конфигурации содержит встроенное имя пользователя, но не содержит пароль. В Windows в этом выпуске исправлена обработка флага DNSSEC, которая никогда не применялась из-за ошибки сравнения, всегда дававшей результат false, а также исправлено поведение индикатора прогресса удаления при удалении адаптера.

Для пользователей Linux в этом выпуске нет значительных добавлений функций, специфичных для Linux, но пакеты, поддерживаемые сообществом, по-прежнему доступны через официальные каналы распространения проекта.

Более подробную информацию см. в журнале изменений.

Источник