Fakty na temat audytu kodu źródłowego OSTIF OpenVPN
Dzięki finansowaniu z Open Source Technology Improvement Fund (OSTIF) grupa ekspertów ds. Bezpieczeństwa z QuarksLab spędziła pierwsze kilka miesięcy 2023 r. Przeglądając kod źródłowy dla OpenVPN – jednego z protokołów używanych przez aplikacje ExpressVPN.
Wyniki audytu ujawniły pewne problemy związane z bezpieczeństwem, które programiści OpenVPN szybko rozwiązali w wydaniu OpenVPN 2.3.15.
Wszystkie serwery ExpressVPN już działają w tej zaktualizowanej wersji OpenVPN. Chociaż aplikacje ExpressVPN używają 2.3.14, wszystkie nasze serwery używają 2.3.15, dlatego nie ma to wpływu na użytkowników.
Co oznacza audyt dla OpenVPN?
ExpressVPN uważa audyt za wielki sukces. Wykryte problemy dotyczyły przede wszystkim zagrożeń związanych z odmową usługi. Na przykład osoba atakująca może potencjalnie zawiesić serwer OpenVPN po przesłaniu ponad 196 GB danych podczas jednej sesji VPN. Chociaż taki atak nie stanowi wielkiego problemu – przełącznik zabijania ExpressVPN aktywuje się i ponownie połączy z innym serwerem w tym scenariuszu, a użytkownik nie będzie miał łączności przez kilka sekund – poprawka wzmacnia i tak już solidny protokół.
Biorąc wszystko pod uwagę, problemy wykryte w tym audycie są stosunkowo niewielkie, co jest świetną wiadomością dla OpenVPN i społeczności OpenVPN a także podkreśla jakość tego protokołu.
Dowiedz się więcej o OSTIF i audycie OpenVPN
Podsumowanie audytu OSTIF można przeczytać tutaj.
ExpressVPN pomógł sfinansować ten audyt. Przeczytaj nasz wywiad z OSTIF tutaj. Dziękujemy OSTIF i QuarksLab za dobrze wykonaną pracę!