Foi lançado o OpenVPN 2.6.16, a versão estável mais recente deste sistema VPN open-source para criar conexões seguras ponto a ponto ou site para site em configurações roteadas ou ponteadas. O OpenVPN 2.6.16 é uma pequena atualização que resolve a vulnerabilidade de segurança CVE-2025-13086 (verificação memcmp para a verificação HMAC no handshake 3 vias), que tornou ineficiente a proteção baseada em HMAC contra exaustão de estado ao receber pacotes de handshake TLS falsificados no servidor OpenVPN.
Além disso, esta versão também corrige vários bugs, incluindo:
- Criação inválida de ponteiros na função tls_pre_decrypt()
- Gerenciamento de plugins/scripts de autenticação
- Ausência de chamada perf_pop() (perfil de desempenho opcional)
- Alguns problemas relacionados ao Windows
- Vários outros bugs
Confira as notas de lançamento para mais detalhes sobre as mudanças incluídas em essa versão.
O OpenVPN 2.6.16 vem dois meses após o OpenVPN 2.6.15, que trouxe de volta o suporte para configurar explicitamente o endereço de broadcast em sistemas Linux, em interfaces quando aplicável. Esse recurso foi removido da série OpenVPN 2.6 porque "os computadores são inteligentes e podem fazer isso sozinhos".
Na realidade, a interface netlink do kernel não é tão inteligente, e instalou "0.0.0.0" como endereço IP, quebrando a funcionalidade para aplicações baseadas em broadcast que obtêm seu endereço IP pelo comando 'ifconfig'. Portanto, essa mudança resolve problemas com aplicativos baseados em broadcast que não funcionavam com OpenVPN 2.6.
O OpenVPN 2.6.15 também introduziu suporte para validar estritamente nomes de domínio DNS com uma lista positiva de caracteres permitidos, incluindo bytes UTF-8 de alto bit-set, antes de serem entregues ao PowerShell, além da capacidade de aplicar mais verificações aos pacotes de handshake TLS recebidos antes de criar um novo estado para corrigir um problema com clientes que flutuam muito cedo, mas enviam pacotes de canal de controle a partir do IP pré-float.
Você pode baixar a versão mais recente do OpenVPN como tarball de fonte pelo GitHub se quiser compilar softwares a partir da fonte. Se isso não for o seu estilo, confira estas instruções sobre como instalar OpenVPN no Debian, Ubuntu, openSUSE/SLES e Fedora/RHEL.