]> git.ipfire.org Git - ipfire-2.x.git/commit - lfs/openvpn
projects / ipfire-2.x.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 0f447b4) | patch
openvpn: Update to version 2.5.6
authorAdolf Belka <adolf.belka@ipfire.org>
Thu, 14 Apr 2022 08:21:12 +0000 (10:21 +0200)
committerPeter Müller <peter.mueller@ipfire.org>
Mon, 18 Apr 2022 21:06:40 +0000 (21:06 +0000)
commit75072c7702208179b392570485d5b301673525a0
treeac9b03e7a44c746b82274130d7641bdaf3c1059ctree | snapshot
parent0f447b470a929bb8f565e4cc5eb2697f074ddd7acommit | diff
openvpn: Update to version 2.5.6

- Update from version 2.5.4 to 2.5.6
- Update of rootfile not required
- No changes related to ciphers or options
- Source tarball changed from .xz to .gz as for version 2.5.6 the xz options was not
   available. Raised on Openvpn forum but response was that they also didn't know why xz
   option was not available but they thought it was not a big deal as the gz version is
   only slightly larger.
- Changelog
   Overview of changes in 2.5.6
User-visible Changes
    update copyright year to 2022
New features
    new plugin (sample-plugin/defer/multi-auth.c) to help testing with multiple
             parallel plugins that succeed/fail in direct/deferred mode
    various build improvements (github actions etc)
    upgrade pkcs11-helper to release 1.28.4
Bugfixes
    CVE-2022-0547 see
             https://community.openvpn.net/openvpn/wiki/SecurityAnnouncements
      If openvpn is configured with multiple authentication plugins and more than
               one plugin tries to do deferred authentication, the result is not
               well-defined - creating a possible authentication bypass.
      In this situation the server process will now abort itself with a clear log
               message. Only one plugin is allowed to do deferred authentication.
    Fix "--mtu-disc maybe|yes" on Linux
    Due to configure/syshead.h/#ifdef confusion, the code in question was not
             compiled-in since a long time. Fixed. Trac: #1452
    Fix $common_name variable passed to scripts when username-as-common-name is
             in effect.
      This was not consistently set - sometimes, OpenVPN exported the username,
               sometimes the common name from the client cert. Fixed. Trac: #1434
    Fix potential memory leaks in add_route() and add_route_ipv6().
    Apply connect-retry backoff only to one side of the connection in p2p mode.
             Without that fix/enhancement, two sides could end up only sending packets
              when the other end is not ready. Trac: #1010, #1384
    remove unused sitnl.h file
    clean up msvc build files, remove unused MSVC build .bat files
    repair "--inactive" handling with a 'bytes' parameter larger than 2 Gbytes
     due to integer overflow, this ended up being "0" on Linux, but on Windows
              with MSVC it ends up being "always 2 Gbyte", both not doing what is
              requested. Trac: #1448
    repair handling of EC certificates on Windows with pkcs11-helper
    (wrong compile-time defines for OpenSSL 1.1.1)
Documentation
    documentation improvements related to DynDNS. Trac: #1417
    clean up documentation for --proto and related options
    rebuild rst docs if input files change (proper dependency handling)
   Overview of changes in 2.5.5
User-visible Changes
    SWEET32/64bit cipher deprecation change was postponed to 2.7
    Windows: use network address for emulated DHCP server as default this
             enables use of a /30 subnet, which is needed when connecting to OpenVPN Cloud.
    require EC support in windows builds (this means it's no longer possible to
             build a Windows OpenVPN binary with an OpenSSL lib without EC support)
New features
    Windows build: use CFG and Spectre mitigations on MSVC builds
    bring back OpenSSL config loading to Windows builds. OpenSSL config is
             loaded from %installdir%\ssl\openssl.cnf (typically:
             c:\program files\openvpn\ssl\openssl.cnf) if it exists.
      This is important for some hardware tokens which need special OpenSSL
               config for correct operation. Trac #1296
Bugfixes
    Windows build: enable EKM
    Windows build: improve various vcpkg related build issues
    Windows build: fix regression related to non-writeable status files
             (Trac #1430)
    Windows build: fix regression that broke OpenSSL EC support
    Windows build: fix "product version" display (2.5..4 -> 2.5.4)
    Windows build: fix regression preventing use of PKCS12 files
    improve "make check" to notice if "openvpn --show-cipher" crashes
    improve argv unit tests
    ensure unit tests work with mbedTLS builds without BF-CBC ciphers
    include "--push-remove" in the output of "openvpn --help"
    fix error in iptables syntax in example firewall.sh script
    fix "resolvconf -p" invocation in example "up" script
    fix "common_name" environment for script calls when
             "--username-as-common-name" is in effect (Trac #1434)
Documentation
    move "push-peer-info" documentation from "server options" to "client"
             (where it belongs)
    correct "foreign_option_{n}" typo in manpage
    update IRC information in CONTRIBUTING.rst (libera.chat)
    README.down-root: fix plugin module name

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Reviewed-by: Peter Müller <peter.mueller@ipfire.org>
lfs/openvpn diff | blob | blame | history
IPFire 2.x development tree