Twee audits van de populaire vpn-software OpenVPN hebben meerdere beveiligingslekken opgeleverd die in de nieuwste versie zijn verholpen. De eerste audit werd uitgevoerd door de bekende cryptograaf Matthew Green. Green, universitair docent aan het Johns Hopkins Information Security Institute, leidde eerder al een audit naar het populaire encryptieprogramma TrueCrypt.
De tweede audit werd dankzij een crowdfundingcampagne van het Open Source Technology Improvement Fund (OSTIF) door QuarksLab uitgevoerd. QuarksLab en OSTIF voerden vorig jaar nog een audit uit van de encryptiesoftware VeraCrypt. Beide audits leverden tal van kwetsbaarheden op die in OpenVPN 2.4.2 zijn verholpen. Zo bleek onder andere dat gebruikersnamen en wachtwoorden niet uit het geheugen van de server werden gewist. Ook was het mogelijk om een denial of service te veroorzaken. Verder bleken er allerlei onveilige configuratie-opties te worden gebruikt.
"We hebben uitgebreid naar de implementatie van OpenVPN 2.4 gekeken. We hebben ons gericht op de kwaliteit van de encryptie en software van het project. Met het verschijnen van OpenVPN 2.4.2 zijn verschillende problemen verholpen die onze en een grotere door QuarksLab uitgevoerde audit hebben gevonden. Het is onze bevinding dat OpenVPN 2.4.2 technisch in orde is", aldus Green.
Deze posting is gelocked. Reageren is niet meer mogelijk.