OpenVPN هو حل VPN مفتوح المصدر ومتكامل ومدعوم بـ SSL (طبقة مآخذ التوصيل الآمنة) ومصمم لاستيعاب مجموعة كبيرة من وظائف خادم OpenVPN ، بما في ذلك شبكات VPN الخاصة بالموقع والوصول عن بعد وأمن Wi-Fi .
يمكن استخدامها أيضًا لتنفيذ حلول الوصول عن بُعد على مستوى المؤسسات مع تجاوز الفشل ، التحكم في الوصول إلى الحبيبات الدقيقة ، وموازنة الأحمال ، بالإضافة إلى تطبيقات OpenVPN Connect UI و OpenVPN المبسطة لمجال واسع من أنظمة التشغيل. / P>
يطبق كلا من OSI طبقة 2 و 3 ملحقات شبكة آمنة
يقوم المشروع بتنفيذ كلا من ملحقات الشبكة الآمنة 2 و 3 من OSI ، وذلك باستخدام بروتوكول طبقة النقل الآمنة (TLS) المعياري في الصناعة وبروتوكولات SSL (Secure Sockets Layer). وهو متوافق مع أنظمة التشغيل GNU / Linux و Mac OS X و Android و iOS و Microsoft Windows.
تم تصميم OpenVPN لدعم أساليب المصادقة المرنة للعملاء استنادًا إلى الشهادات والمصادقة الثنائية والبطاقات الذكية. ضع في اعتبارك أنه ليس وكيل تطبيق ويب ولا يعمل من خلال متصفح الويب.
بالإضافة إلى ذلك ، تم تصميم OpenVPN Access Server لدعم مجموعة كبيرة من عمليات التهيئة ، بما في ذلك الوصول عن بعد إلى وحدات حبيبية وآمنة إلى خدمات الشبكة الداخلية ، بالإضافة إلى تطبيقات وموارد الشبكة السحابية الخاصة ، مع توفير تحكم دقيق للغاية.
تستخدم من قبل العديد من الشركات الصغيرة والمتوسطة الحجم
اختارت العديد من الشركات الصغيرة والمتوسطة الحجم استخدام OpenVPN لتزويد موظفيها بدعم الاتصال عن بُعد للعمل من المنزل أو الخارج.
في حين أن المشروع هو في الواقع خدمة خفية تعمل في الخلفية ويمكن الوصول إليها فقط عن طريق محاكي X11 أو وحدة تحكم Linux ، فإن هناك نطاقًا واسعًا من واجهة المستخدم الرسومية (واجهة المستخدم الرسومية) موجودة ، مما يسمح بنهاية - المستخدمين للاتصال بسهولة بخادم OpenVPN محدد باستخدام ملفات تهيئة محددة مسبقًا.
الحد الأدنى
الكل في الكل ، OpenVPN هو مصدر رائع ومفتوح ومجاني بديل لحلول VPN مماثلة ، ولكنها ملكية أو صعبة التنفيذ ، مثل L2TP (بروتوكول نفق الطبقة الثانية) ، PPTP (بروتوكول الاتصال النفقي من نقطة إلى نقطة) ، و IPsec (أمان بروتوكول الإنترنت).
ما هو الجديد في هذا الإصدار:
ديفيد سومرست (1):
إدارة: تحذير إذا تم استخدام منفذ TCP بدون كلمة مرور
جيرت دورينغ (3):
النسخة الصحيحة في ChangeLog - يجب أن تكون 2.4.5 ، كانت مخطئة على أنها 2.4.4
إصلاح احتمال مزدوج () في الخدمة التفاعلية (CVE-2018-9336)
تحضير الإصدار v2.4.6 (ChangeLog ، الإصدار.m4 ، Changes.rst)
جيرت فان ديجك (1):
manpage: تحسين وصف --status و - status-version
جوست ريجنفيلد (1):
جعل رمز العودة tls الخارجية الرئيسية المباراة المستندات
سيلفا نير (3):
احذف طريق IPv6 إلى الرابط & quot؛ متصل & quot؛ الشبكة على نغمة قريبة
الإدارة: تحذير حول كلمة المرور فقط عندما يكون الخيار قيد الاستخدام
تجنب تجاوز في حساب وقت wakeup
سيمون ماتر (1):
إضافة مفقود #ifdef SSL_OP_NO_TLSv1_1 / 2
ستيفان كارغر (1):
تحقق من وجود المزيد من البيانات في قناة التحكم
ما هو الجديد في الإصدار:
أنطونيو كوارتولي (1):
تجاهل auth-nocache لـ auth-user-pass إذا تم دفع رمز auth-token
ديفيد سومرست (3):
التشفير: تمكين التحقق من بصمة SHA256 - تجزئة التجزئة
حقوق النشر: تحديث نصوص ترخيص GPLv2
رمز المصادقة مع إصلاح auth-nocache كسر - يبني تعطيل التشفير
ايمانويل ديلوجيت (8):
OpenSSL: لا تستخدم الوصول المباشر إلى داخل X509
OpenSSL: لا تستخدم الوصول المباشر إلى EVP_PKEY الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى RSA الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى DSA الداخلي
OpenSSL: force meth- & gt؛ name as non const when we free () it
OpenSSL: لا تستخدم الوصول المباشر إلى EVP_MD_CTX الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى EVP_CIPHER_CTX الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى HMAC_CTX الداخلي
جيرت دورينغ (6):
إصلاح سلوك NCP على طبقة النقل الآمنة لإعادة الاتصال.
قم بإزالة القيود الخاطئة على العدد الأقصى من args لـ --plugin
إصلاح حالة الحافة مع فشل العملاء في إعداد التشفير على PUSH_REPLY الفارغة.
إصلاح الغموض المحتمل الذي يصل إلى 1 بايت في تحليل خيار TCP.
التحضير للإصدار v2.4.3 (ChangeLog ، الإصدار.m4 ، Changes.rst)
جويدو فرانكين (6):
refactor my_strupr
إصلاح تسرب الذاكرة 2 في روتين مصادقة الوكيل
إصلاح تسرب الذاكرة في add_option () للخيار "اتصال"
تأكد من أن صفيف الخيار p [] دائمًا يتم إنهاؤه
إصلاح dereference مؤشر null في found_http_proxy_passthru ()
منع نوعين من المخزن المؤقت المكدس OOB يقرأ وتعطل لبيانات الإدخال غير صالحة
جيرمي كوريجيس أنغلاس (2):
إصلاح الوصول غير المصاحب على OpenBSD / sparc64
وتشمل المفقودين لأعلام مأخذ التوصيل TCP_NODELAY على OpenBSD
ماتياس أندريه (1):
جعل openvpn-plugin.h قائم بذاته مرة أخرى.
سيلفا نير (1):
تمرير حجم المخزن المؤقت الصحيح إلى GetModuleFileNameW ()
ستيفان كارغر (11):
تسجيل تشفير التفاوض (NCP)
تجنب زيادة 1 بايت في x509_get_subject (ssl_verify_openssl.c)
تخطي اختبارات وحدة tls-crypt إذا كان وضع التشفير غير مدعومًا
openssl: إصلاح التحقق من الفائض للحصول على خيار tils-cipher طويل
أضف زوج / زوج اختبار اختبار DSA إلى مفاتيح العينة
إصلاح حساب بصمة mbedtls
mbedtls: fix --x509-track post-authentication remote DoS (CVE-2017-7522)
mbedtls: تتطلب أنواع C-string المتوافقة من أجل -x509-username-field
إصلاح تسرب الذاكرة عن بعد القابل للتشغيل (CVE-2017-7521)
تقييد أنواع الإضافة - x509-alt-username
إصلاح إمكانية الاستخدام المجاني الخالي من اسم المستخدم - x509-alt (CVE-2017-7521)
ستيفن ماكدونالد (1):
إصلاح اكتشاف البوابة باستخدام نطاقات توجيه OpenBSD
ما هو الجديد في الإصدار 2.4.2:
رمز auth-token: يتم دومًا مسح الرموز المميزة على de-auth
المستندات: تحذيرات الإنذارات الثابتة للصفحة التي يكتشفها rpmlint
جعل - cipher / - auth لا شيء أكثر صراحة على المخاطر
البرنامج المساعد: إصلاح الخطأ المطبعي التوضيحي لـ type_mask
المساعد: تصدير secure_memzero () إلى المكونات الإضافية
أصلح extract_x509_field_ssl للكائنات الخارجية ، الإصدار 2
في البرنامج المساعد auth-pam امسح كلمة المرور بعد الاستخدام
تنظيف: دمج packet_id_alloc_outgoing () في packet_id_write ()
لا تقم بتشغيل اختبارات الوحدة packet_id للبنيات غير المرغوب فيها
تصحيح تخطيط Changes.rst
إصلاح تسرب الذاكرة في x509_verify_cert_ku ()
mbedtls: تحقق بشكل صحيح من قيمة الإرجاع في pkcs11_certificate_dn ()
استعادة معلمات الإطار pre-NCP للجلسات الجديدة
دائما مسح اسم المستخدم / كلمة المرور من الذاكرة على الخطأ
اعتبارات الأمان tls-crypt المستند في صفحة man
لا تؤكد على استلام رزم التحكم الكبيرة جدًا (CVE-2017-7478)
قم بإسقاط الحزم بدلاً من التأكيد على ما إذا كانت معرّف الحزمة يتدحرج (CVE-2017-7479)
قم بتعيين مقياس لواجهة منخفضة لمحول الصنبور عندما يكون قيد خارج-نظام أسماء النطاقات قيد الاستخدام
ما هو الجديد في الإصدار 2.4.1:
أنطونيو كوارتولي (4):
محاولة إضافة توجيه IPv6 حتى عند عدم تكوين عنوان IPv6
إصلاح سلوك redirect-gateway عند عدم وجود مسار افتراضي IPv4
CRL: استخدم time_t بدلاً من timespec struct لتخزين آخر مرة
تجاهل اسم المضيف العشوائي عن بعد إذا تم توفير مضيف رقمي
كريستيان هيس (7):
الرجل: حدد التنسيق للحصول على خيار بديل
systemd: استخدام أدوات automake لتثبيت ملفات الوحدة
systemd: لا السباق على RuntimeDirectory
systemd: إضافة المزيد من ميزات الأمان لوحدات systemd
تنظيف معالجة مسار المساعد
البرنامج المساعد: إزالة GNUism في جيل openvpn-plugin.h
إصلاح الخطأ المطبعي في رسالة الإخطار
ديفيد سومرست (6):
الإدارة: & GT ؛ عملية REMOTE ستحل محل مؤشر التغيير CE
الإدارة: إزالة كتلة #ifdef متكررة
git: دمج ملفات .gitignore في ملف واحد
systemd: نقل READY = 1 الإشارة إلى نقطة سابقة
البرنامج المساعد: تحسين معالجة دليل المكونات الإضافية الافتراضي
تنظيف: إزالة وظائف المعالجة env الخاطئ
ايمانويل ديلوجيت (8):
OpenSSL: تحقق من سبب SSL ، وليس الخطأ الكامل
OpenSSL: لا تستخدم الوصول المباشر إلى SSL_CTX الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى X509_STORE الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى X509_OBJECT الداخلي
OpenSSL: لا تستخدم الوصول المباشر إلى RSA_METHOD الداخلي
OpenSSL: لم تعد رموز SSLeay متوفرة في OpenSSL 1.1
OpenSSL: استخدام EVP_CipherInit_ex () بدلاً من EVP_CipherInit ()
إريك ثورب (1):
فيكس بناء باستخدام MSVC
جيرت دورينغ (5):
أضف openssl_compat.h إلى openvpn_SOURCES
إصلاح "--dev null"
إصلاح تثبيت توجيه مضيف IPv6 إلى خادم VPN عند استخدام خدمة iservice.
اجعل ENABLE_OCC لم تعد تعتمد على! ENABLE_SMALL
التحضير للإصدار v2.4.1 (ChangeLog ، الإصدار.m4)
جيزيل فانيم (1):
تحطم في options.c
ايليا شيبسيتسين (2):
حل العديد من قضايا travis-ci
travis-ci: إزالة الملفات غير المستخدمة
أوليفييه واهرنبيرجر (1):
إصلاح المبنى باستخدام LibreSSL 2.5.1 عن طريق تنظيف الاختراق.
سيلفا نير (4):
إصلاح خيارات دفع هضم التحديث
قم دائمًا بتحرير عنوان dhcp في close_tun () على Windows.
إضافة التحقق من أجل -Wl ، دعم التفاف في linker
إصلاح التحقق من عضوية مجموعة المستخدم في خدمة تفاعلية للعمل مع النطاقات
سيمون ماتر (1):
إصلاح segfault عند استخدام crypto lib دون AES-256-CTR أو SHA256
ستيفان كارغر (8):
على نطاق أوسع فرض أسلوب Allman وأقواس حول الشرط
استخدم SHA256 للخلاصة الداخلية ، بدلاً من MD5
OpenSSL: 1.1 fallout - إصلاح التهيئة على autoconf القديم
إصلاح أنواع في WIN32 socket_listen_accept ()
إزالة متغيرات X509 env مكررة
إصلاح الإصدارات غير المتوافقة مع C99: لا تستخدم const size_t مثل طول الصفيف
deprecate --ns-cert-type
كن أقل إرضاءً حول ملحقات الامتداد الرئيسية
ما هو الجديد في الإصدار 2.4.0:
كريستيان هيس (1):
تحديث العام في رسالة حقوق الطبع والنشر
ديفيد سومرست (2):
رجل: تحسين قسم - seefalive
قم بتوثيق -auth-token
جيرت دورينغ (3):
إصلاح الشبكة الفرعية طوبولوجيا على FreeBSD 11
إصلاح الشبكة الفرعية الطوبولوجيا على OpenBSD
اعداد الافراج عن v2.3.14
ليف ستيباكوف (1):
إسقاط الحزم الموجهة بشكل متكرر
سيلفا نير (4):
دعم - كتلة-خارج-نظام أسماء النطاقات على أنفاق متعددة
عند تحليل "--setenv opt xx .." ، تأكد من وجود معلمة ثالثة
إشارات إعادة تشغيل الخريطة من حلقة الحدث إلى SIGTERM أثناء انتظار إخطار الخروج
حدد بشكل صحيح عنوان الخادم الافتراضي dhcp في صفحة man
ستيفان كارغر (1):
تنظيف format_hex_ex ()
ما هو الجديد في الإصدار 2.3.9:
أرني شواب (2):
تقرير endtags المفقودة للملفات المضمّنة كتحذيرات
إصلاح الالتزام e473b7c إذا حدث ملف مضمّن لجعل فاصل أسطر تماماً في حدود المخزن المؤقت
جيرت دورينغ (3):
إنتاج رسالة خطأ ذات مغزى إذا كان --demon يحصل في طريق طلب كلمات المرور.
وثيقة - تغييرات وعواقب daimas (--askpass ، - auth-nocache).
التحضير للإصدار v2.3.8 (ChangeLog ، الإصدار.m4)
هولجر كومرت (1):
ديل ipv6 addr على مقربة من واجهة لينكس tun
جيمس جيبوسكي (1):
فيكس --askpass لا يسمح لإدخال كلمة المرور عبر stdin
ستيفان كارغر (5):
كتابة ملف PID مباشرة بعد التخفي
جعل __func__ العمل مع Visual Studio أيضا
إصلاح الانحدار: كلمة المرور الاستعلام قبل أن تصبح الخفي
حل باستخدام واجهة الإدارة للحصول على كلمات المرور.
إصلاح التحقق من الفائض في openvpn_decrypt ()
ما هو الجديد في الإصدار 2.3.8:
أرني شواب (2):
تقرير endtags المفقودة للملفات المضمّنة كتحذيرات
إصلاح الالتزام e473b7c إذا حدث ملف مضمّن لجعل فاصل أسطر تماماً في حدود المخزن المؤقت
جيرت دورينغ (3):
إنتاج رسالة خطأ ذات مغزى إذا كان --demon يحصل في طريق طلب كلمات المرور.
وثيقة - تغييرات وعواقب daimas (--askpass ، - auth-nocache).
التحضير للإصدار v2.3.8 (ChangeLog ، الإصدار.m4)
هولجر كومرت (1):
ديل ipv6 addr على مقربة من واجهة لينكس tun
جيمس جيبوسكي (1):
فيكس --askpass لا يسمح لإدخال كلمة المرور عبر stdin
ستيفان كارغر (5):
كتابة ملف PID مباشرة بعد التخفي
جعل __func__ العمل مع Visual Studio أيضا
إصلاح الانحدار: كلمة المرور الاستعلام قبل أن تصبح الخفي
حل باستخدام واجهة الإدارة للحصول على كلمات المرور.
إصلاح التحقق من الفائض في openvpn_decrypt ()
ما هو الجديد في الإصدار 2.3.6:
أندريس كالنوزولس (2):
إصلاح بعض الأخطاء المطبعية في صفحة الرجل.
لا تقم بتطوير حقل x509-username-field لوسائط الحالة المختلطة.
ارني شواب (1):
إصلاح مسارات الخادم التي لا تعمل في الشبكة الفرعية لـ top - مع خادم [v3]
ديفيد سومرست (4):
تحسين الإبلاغ عن الأخطاء في الوصول إلى ملف - client-config-dir و-ccd-exclusive
لا تدع openvpn_popen () الحفاظ على الكسالى حولها
إضافة ملف وحدة systemd ل OpenVPN
systemd: استخدم وظائف systemd للنظر في توفر النظام
جيرت دورينغ (4):
إسقاط fe80 الواردة :: الحزم بصمت الآن.
إصلاح t_lpback.sh الأعطال التي تعتمد على النظام الأساسي
مكالمات مساعدة برنامج init init مع مسار واضح (./)
التحضير للإصدار v2.3.5 (ChangeLog ، الإصدار.m4)
هيكو هوند (1):
تأكيد صقل للسماح وسائط أخرى من CBC
هوبرت كاريو (2):
ocsp_check - التحقق من صحة التوقيع ونتائج شهادة staus منفصلة
ocsp_check - تحقق مرة أخرى إذا لم يقم ocsp بالإبلاغ عن أي أخطاء في التنفيذ
جيمس بيكيما (1):
إصلاح socket-flag / TCP_NODELAY على نظام التشغيل Mac OS X
جيمس يونان (6):
إصلاح عدة حالات من الإعلانات بعد العبارات.
صراحة وضع المعلمة الثالثة من setsockopt لثابت الفراغ * لتجنب التحذير.
لا يدعم MSVC 2008 أبعاد صفيف مع var const ولا يستخدم٪ z كمُحدد تنسيق printf.
تعريف PATH_SEPARATOR لبنيات MSVC.
تم إصلاح بعض مشكلات الترجمة باستخدام show_library_versions ()
جان هورن (1):
إزالة التعقيد التربيعي من openvpn_base64_decode ()
مايك جيلبرت (1):
إضافة تكوين التحقق من المسار إلى systemd-ask-password
فيليب هاجميستر (2):
إضافة طوبولوجيا في ملف تكوين خادم عينة
تنفيذ إضافة الارتباط على الإنترنت لـ iproute2
صموئيل ثيبولت (1):
تأكد من حذف ملفات اتصال العميل دائمًا
ستيفان كارغر (13):
قم بإزالة الوظيفة بدون تأثير (cipher_ok () دائمًا يتم إرجاعها).
إزالة وظائف المجمع غير الضرورية في crypto_openssl.c
إصلاح الخطأ الذي يرفض بشكل خاطئ تمثيل eku للتمثيل في البنايات القطبية
قم بتحديث README.polarssl
إعادة تسمية ALLOW_NON_CBC_CIPHERS إلى ENABLE_OFB_CFB_MODE وإضافة إلى تكوين.
إضافة فحص مناسب لأوضاع التشفير (CBC أو OFB / CFB)
تحسين - إظهار الشفرات لإظهار ما إذا كان يمكن استخدام تشفير في وضع مفتاح ثابت
تمديد اختبارات t_lpback لاختبار جميع الأصفار التي أبلغ عنها - show-ciphers
لا تخرج من البرنامج الخفي في حالة فشل فتح أو تحليل تحليل CRL.
إصلاح الخطأ المطبعي في cipher_kt_mode_ {cbc، ofb_cfb} () doxygen.
إصلاح الانحدار باستخدام مفاتيح خاصة محمية بكلمة مرور (polarssl)
ssl_polarssl.c: الإصلاح يتضمن ويجعل الصيحات صريحة
إزالة المتغيرات غير المستخدمة من ssl_verify_openssl.c extract_x509_extension ()
TDivine (1):
إصلاح & quot؛ رمز = 995 & quot؛ علة مع ويندوز سائق NDIS6 الصنبور.
ما هو الجديد في الإصدار 2.3.4:
إصلاح صفحة الرجل وخطأ OSCP: tls_serial_ {n} عشري
إصلاح is_ipv6 في حالة واجهة النقر.
عنوان IPv6 / الطريق حذف الإصلاح ل Win8
إضافة تقارير إصدار مكتبة SSL.
تنظيفات بسيطة t_client.sh
إصلاح --multihome على FreeBSD لمآخذ IPv4.
إعادة قسم manpage حول --multihome
المزيد من التحديثات المتعلقة بـ IPv6 لصفحة manvpn man.
قم بتفعيل المكالمات الى print_default_gateway! ENABLE_SMALL
التحضير للإصدار v2.3.4 (ChangeLog ، الإصدار.m4)
استخدم strtoull () الأصلي مع MSVC 2013.
عند عدم تحديد tls-version-min ، يمكنك الرجوع إلى نهج الإصدار الأصلي.
تغيير signness من التجزئة في x509_get_sha1_hash () ، إصلاح تحذير المترجم.
أصلح OCSP_check.sh لاستخدام العلامة العشرية للتحقق من stdout أيضًا.
إصلاح نظام الإنشاء لقبول مواقع مكتبة التشفير غير التابعة للنظام للمكونات الإضافية.
جعل تصدير env المتسلسل متسقة بين OpenSSL وبولارسيسل يبني.
إصلاح اختيار طريقة SOCKSv5
إصلاح الخطأ المطبعي في برنامج نصي لإنشاء نموذج لاستخدام LDFLAGS
ما هو الجديد في الإصدار 2.3.3:
pkcs11: استخدم مفتاح evp العام بدلاً من rsa
إضافة دعم من أجهزة utun تحت نظام التشغيل Mac OS X
إضافة دعم لتجاهل خيارات محددة.
إضافة ملاحظة ما يفعله optenv opt لـ OpenVPN & lt؛ 2.3.3
إضافة تقرير عن إصدار واجهة المستخدم إلى مجموعة معلومات دفع النظير الأساسية.
إصلاح خطأ الترجمة في ssl_openssl الذي يقدمه تصحيح الإدارة الخارجية القطبية
إصلاح التأكيد عند استلام SIGUSR1 أثناء نجاح getaddrinfo
إضافة تحذير لاستخدام متغيرات كتلة الاتصال بعد كتل الاتصال
تقديم فحص السلامة لخيارات الوكيل http
man page: تحديث صفحة man حول متغير البيئة tls_digest_ {n}
قم بإزالة خيار تكوين -disable-eurephia
plugin: قم بتوسيع واجهة برمجة تطبيقات المكون الإضافي v3 لتعريف تطبيق SSL المستخدم
autoconf: إصلاح الخطأ المطبعي
إصلاح عمليات التحقق من الملفات عند استخدام -chroot
وثيقة authfile لخادم الجوارب
إصلاح أمثلة IPv6 في عينة t_client.rc
إصلاح استنزاف بطء الذاكرة عند إعادة التفاوض على كل عميل.
t_client.sh: تجاهل الحقول من & quot؛ عرض مسار ip -6 & quot؛ الإخراج الذي يشوه النتائج.
أنشئ تعليمة برمجية ووثائق لـ --remote-random-hostname compatible.
قضية وثيقة مع - grroot ، / dev / urandom و PolarSSL.
إعادة تسمية "مسار الإنشاء" إلى "struct route_ipv4"
استبدال عناصر البنية المنسوخة بما في ذلك
الحل البديل مفقود SSL_OP_NO_TICKET في إصدارات OpenSSL السابقة
قم دائمًا بتحميل الشهادات المتوسطة من ملف PKCS # 12
دعم أسماء محول TAP غير ASCII على Windows
دعم أحرف غير ASCII في مسار tmp Windows
تفاوض إصدار TLS
تمت إضافة & quot؛ setenv opt & quot؛ البادئة التوجيه.
تعيين علامة SSL_OP_NO_TICKET في سياق SSL لـ OpenSSL ، لتعطيل استئناف جلسة العمل بدون اتصال TLS.
حل تجاهل ازدحام لخيارات التهيئة المدفوعة (trac # 349).
ريفاكتور tls_ctx_use_external_private_key ()
- management-external-key for PolarSSL
external_pkcs1_sign: دعم non-RSA_SIG_RAW hash_ids
نص الخطأ الصحيح عند عدم وجود جهاز Windows TAP
يتطلب إصدار 1.2.x PolarSSL
tls_ctx_load_ca: تحسين رسائل خطأ الشهادة
قم بإزالة إدخالات التشفير المكررة من جدول ترجمة TLS.
حل تكوين التفاعل مع مكتبات OpenSSL ثابتة
لا تمر بنية tls_session * كـ void * في key_state_ssl_init ().
يتطلب polarssl & gt؛ = 1.2.10 للبنية polarssl ، التي تعمل على إصلاح CVE-2013-5915.
استخدم RSA_generate_key_ex () بدلاً من deprecated ، RSA_generate_key ()
قم أيضًا بتحديث المكالمات TLSv1_method () في رمز الدعم إلى المكالمات SSLv23_method ().
قم بتحديث رسائل خطأ TLSv1 إلى SSLv23 لعكس التغييرات من الالتزام 4b67f98
إذا تم توفير -tls-cipher ، فقم بإجراء -إظهار- tls تحليل القائمة.
إضافة أسماء قائمة شيفرة عامة خاصة بـ openssl إلى ssl.c.
إضافة دعم العميل - cert-not-required لـ PolarSSL.
إصلاح & quot؛. & quot؛ في وصف utun.
ما هو الجديد في الإصدار 2.3.2:
يمكنك فقط طباعة تحذيرات البرنامج النصي عند استخدام برنامج نصي. إزالة إشارة ضالة من نظام الأمان النصي.
نقل إعدادات البرنامج النصي للمستخدم إلى وظيفة set_user_script
نقل التحقق من وصول ملف البرنامج النصي إلى set_user_script
تقديم رسالة تحذير أكثر دقة
إصلاح تعطل المؤشر NULL في route_list_add_vpn_gateway ().
إصلاح المشكلة مع نفق UDP بسبب هياكل pktinfo mishandled.
التحضير لـ v2.3.2 (ChangeLog ، الإصدار.m4)
قم دائمًا بدفع مجموعة أساسية من قيم معلومات النظير إلى الخادم.
جعل "صريح-الخروج-إخطار" pullable مرة أخرى
إصلاح proto tcp6 لأوضاع الخادم وغير P2MP
إصلاح تنفيذ نص برمجي لـ Windows عند استدعائها من خطاطيف البرنامج النصي
علة الترجمة الثابتة tls-cipher في openssl-build
يحدد الاستخدام الثابت للتالفة USE_SSL إلى ENABLE_SSL
إصلاح segfault عند تمكين المكونات الإضافية pf
ما هو الجديد في الإصدار 2.2.2:
فقط نحذر من حزم IPv6 غير التي تم معالجتها مرة واحدة
إضافة فاصل مفقود بين & quot؛ حالة IPv4 & quot؛ و & quot؛ case IPv6 & quot ؛، مما يؤدي إلى
Bump tap driver version of 9.8 to 9.9
سجل رسالة خطأ وقم بالخروج لـ & quot؛ win32، tun mode، tap driver version 9.8 & quot؛
backported pkcs11-المتعلقة أجزاء من 7a8d707237bb18 إلى 2.2 فرع
ما هو الجديد في الإصدار 2.2.2:
فقط التحذير من حزم IPv6 غير المعالجة بعد
ما هو الجديد في الإصدار 2.2 Beta 5:
تم إصلاح المشكلة التي تسبب في حدوث فشل في الإنشاء مع برنامج MS Visual Studio 2008.
ما هو الجديد في الإصدار 2.1.4:
إصلاح المشكلة مع أهداف مسار الحالة الخاصة ('remote_host')
ستترك الدالة init_route () & netlist دون مساس للمسارات get_special_addr () (& quot؛ remote_host & quot؛ كونها واحدة منها).
netlist على مكدس ، يحتوي على القمامة العشوائية ، ولن netlist.len لن يكون 0 - وبالتالي ، يتم نسخ بيانات مكدس عشوائي من netlist.data [] حتى full_list ممتلئ.
ما هو الجديد في الإصدار 2.1:
مشكلة أمان Windows:
إمكانية ثبات تصاعد الامتيازات المحتملة المحلية في خدمة Windows. لم تقتبس خدمة Windows بشكل صحيح اسم الملف القابل للتنفيذ الذي تم تمريره إلى CreateService. يمكن للمهاجم المحلي الذي له حق الوصول للكتابة إلى الدليل الجذر C: إنشاء ملف قابل للتنفيذ يتم تشغيله بنفس مستوى الامتياز الخاص بخدمة OpenVPN Windows. ومع ذلك ، نظرًا لأن المستخدمين غير الإداريين عادةً ما يفتقرون إلى إذن الكتابة على C: ، تكون هذه الثغرة الأمنية عمومًا غير قابلة للاستغلال باستثناء الإصدارات القديمة من Windows (مثل Win2K) حيث تسمح الأذونات الافتراضية على C: لأي مستخدم بإنشاء ملفات هناك.
ائتمان:
سكوت لوري ، MWR InfoSecurity
نظام بناء بديل قائم على بايثون لـ Windows باستخدام Visual Studio 2008 (في دليل الفوز).
عند القيام بالإجهاض بطريقة غير ذكية ، حاول تنفيذ do_close_tun في init.c قبل الخروج من البرنامج للتأكد من إغلاق واجهة tun / tap وأية مسارات إضافية يتم حذفها.
تم إصلاح مشكلة عدم تسليم AUTH_FAILED بشكل صحيح للعميل عند تعيين كلمة مرور غير صالحة لإجراء عملية rweet في منتصف الجلسة ، مما تسبب في فشل الاتصال دون ظهور إشارة خطأ.
تم إصلاح مشكلة في واجهة الإدارة التي قد تتسبب في حدوث تعليق لعملية باستخدام وحدة المعالجة المركزية بنسبة 100٪ في وضع - management-client إذا تم قطع اتصال عميل واجهة الإدارة في النقطة التي يتم الاستعلام عن بيانات الاعتماد الخاصة بها.
تم إصلاح مشكلة في حالة تعيين reneg-sec على صفر على العميل ، بحيث تكون قيمة جانب الخادم ذات أسبقية ، فإن الدالة auth_deferred_expire_window ستقوم بإرجاع فترة نافذة بمقدار 0 ثانية بشكل غير صحيح. في هذه الحالة ، يجب أن تكون فترة الإطار الصحيح فترة فترة تبادل الإشارات.
تم التعديل & quot؛ & gt؛ PASSWORD: فشل التحقق & quot؛ إعلام واجهة الإدارة لتضمين سلسلة سبب عميل:
& gt؛ PASSWORD: فشل التحقق:
"AUTH_TYPE" ['REASON_STRING "]
تمكين التراجع الأسي في إعادة إرسال طبقة الموثوقية.
تعيين المخازن المؤقتة مأخذ التوصيل (SO_SNDBUF و SO_RCVBUF) مباشرة بعد إنشاء مأخذ بدلاً من الانتظار حتى بعد الاتصال / الاستماع.
تحسينات أداء واجهة الإدارة:1. تمت إضافة الأمر env-filter MI لأداء التصفية على env vars التي تم تمريرها كجزء من - management-client-auth 2. سيحاول man_write الآن تجميع الإخراج إلى كتل أكبر (حتى 1024 بايت) للحصول على مزيد من الفعالية i / س
إصلاح مشكلة ثانوية في برنامج تشغيل Windows TAP DEBUG حيث تم طباعة سلاسل unicode غير خالية null بشكل غير صحيح.
تم إصلاح المشكلة على Windows باستخدام برنامج التحويل البرمجي MSVC ، حيث لم يتم ترجمة دعم TCP_NODELAY في.
تحسينات الوكيل:
تحسين قدرة http-auth & quot؛ auto & quot؛ إشارة إلى اكتشاف طريقة المصادقة المطلوبة بواسطة الوكيل بشكل ديناميكي. تمت إضافة http-auth & quot؛ auto-nct & quot؛ العلم لرفض ضعف طرق المصادقة الوكيل. تمت إضافة طريقة مصادقة ملخص وكيل HTTP. إزالة المكالمات openvpn_sleep الدخيلة من proxy.c.
تم تنفيذ أوامر http-proxy-override و http-proxy-fallback لتسهيل واجهات مستخدم OpenVPN للعميل لبدء ملف تهيئة عميل موجود مسبقًا بخيارات الوكيل ، أو للتراجع بشكل تراكمي مرة أخرى إلى اتصال بالوكيل في حالة فشل الاتصال المباشر.
نفذت قناة مصادقة مفتاح / قيمة من العميل إلى الخادم.تم إصلاح المشكلة التي أدت إلى ظهور إدخالات غير صحيحة في واجهة الإدارة لمصادقة HTTP Proxy Basic في حلقة فشل لا نهائية لإعادة المحاولة بدلاً من إعادة طلب واجهة الإدارة للحصول على اعتماد جديد.
إضافة دعم لتصحيح MSVC من openvpn.exe في settings.in:
# إنشاء نسخة التصحيح من openvpn.exe! define PRODUCT_OPENVPN_DEBUG
تم تنفيذ توسيع DNS متعدد العناوين على مجال الشبكة لأوامر التوجيه. عندما يكون عنوان IP واحد مطلوبًا فقط من توسيع DNS متعدد العناوين ، استخدم العنوان الأول بدلاً من تحديد عشوائي.
وأضاف - تسجيل DNS- الخيار لنظام التشغيل Windows. تم إصلاح بعض المشكلات على نظام التشغيل Windows باستخدام سجل log ، وإنشاء العمليات الفرعية لتنفيذ الأوامر وإعادة توجيه stdout / stderr.
تم إصلاح مشكلة احتمال أن يتم إسقاط إرسالات الحمولة النافعة للتطبيق على قناة التحكم TLS (مثل AUTH_FAILED) التي تحدث أثناء إعادة التفاوض بشأن طبقة النقل الآمنة أو بعدها مباشرةً.
تمت إضافة تحذير حول خيار tls-remote في صفحة الرجل.
لم يتم العثور على التعليقات