在来自开源技术改进基金(OSTIF)的资助下,QuarksLab的一组安全专家在2017年的前几个月花了一个半月的时间回顾了OpenVPN的源代码--ExpressVPN应用程序使用的协议之一。
该审计结果揭示了一些涉及到安全问题,这OpenVPN的开发人员迅速在解决OpenVPN的2.3.15释放。
所有的ExpressVPN服务器都已经运行这个最新版本的OpenVPN。虽然ExpressVPN应用程序使用2.3.14,我们所有的服务器使用2.3.15,因此用户不受影响。
审计对OpenVPN意味着什么?
ExpressVPN认为审计取得了巨大的成功。发现的问题主要与拒绝服务威胁有关。例如,攻击者在通过单个VPN会话传输超过196GB的数据后,可能会使OpenVPN服务器崩溃。尽管这样的攻击并不是一个非常令人担忧的问题,ExpressVPN的kill交换机会在这种情况下激活并重新连接到另一台服务器,而且用户只能在几秒钟内没有连通性,这个修复功能可以增强已经非常强大的协议。
所有事情都考虑到了,这次审计发现的问题相对较小,这对于OpenVPN和OpenVPN社区来说是个好消息,也突出了这个协议的质量。
了解关于OSTIF和OpenVPN审计的更多信息
ExpressVPN帮助了这项审计的进行。
