ExpressVPN ayaa ku dhawaaqday hirgelinta isha furan ee borotokoolka Lightway, oo loogu talagalay in lagu gaaro waqtiyada habeynta isku xirka ugu yar iyadoo la ilaalinayo heer sare oo amniga iyo isku halaynta. Xeerku wuxuu ku qoran yahay luqadda C waxaana lagu qaybiyaa shatiga GPLv2. Hirgelintu waa mid aad u kooban oo ku habboon laba kun oo xariiq oo kood ah. Taageero lagu dhawaaqay Linux, Windows, macOS, iOS, Android platforms, router (Asus, Netgear, Linksys) iyo daalacashada Goluhu wuxuu u baahan yahay isticmaalka hababka isku-ururinta dhulka iyo ceedling. Hirgelinta waxa loo baakadeeyay sidii maktabad aad isticmaali karto si aad ugu dhexgeliso macmiilka VPN iyo shaqaynta adeegaha codsiyadaada.
Koodhku wuxuu isticmaalaa horay loo dhisay, hawlo qarsoodi ah oo la xaqiijiyay oo ay bixiso maktabadda wolfSSL, oo ββhoray loogu isticmaalay FIPS 140-2 xalalka la shahaadeeyay. Habka caadiga ah, borotokoolku wuxuu u isticmaalaa UDP gudbinta xogta iyo DTLS si loo abuuro kanaal isgaarsiineed oo qarsoon. Sida ikhtiyaarka ah si loo hubiyo hawlgalka shabakadaha UDP ee aan la isku hallayn karin ama xaddidan, server-ku wuxuu bixiyaa qaab la isku halleyn karo, laakiin gaabis ah, habka qulqulka kaas oo u oggolaanaya xogta in lagu wareejiyo TCP iyo TLSv1.3.
Tijaabooyin ay sameeyeen ExpressVPN waxay muujiyeen in marka la barbar dhigo borotokoollada hore (ExpressVPN waxay taageertaa L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard iyo SSTP, laakiin ma faahfaahin waxa saxda ah ee la barbardhigay), u beddelashada Lightway waxay hoos u dhigtay waqtiga dejinta isku xirka celcelis ahaan 2.5 jeer (guud ahaan in ka badan kala badh kiisaska kanaalka isgaadhsiinta ayaa lagu abuuray wax ka yar ilbiriqsi). Hab-maamuuska cusub waxa kale oo uu suurtogeliyay in 40% la dhimo tirada xidhiidhka ka goβa shabakadaha mobaylada ee aan la isku halayn karin ee ay dhibaato ka haysato tayada isgaadhsiinta.
Horumarinta tixraaca hirgelinta nidaamka waxaa lagu fulin doonaa GitHub, iyadoo fursad u ah wakiilada beesha inay ka qaybqaataan horumarinta (si loo wareejiyo isbeddelada, waa inaad saxiixdaa heshiiska CLA ee ku wareejinta xuquuqda hantida ee xeerka). Bixiyeyaasha kale ee VPN ayaa sidoo kale lagu martiqaaday inay la shaqeeyaan, maadaama ay isticmaali karaan nidaamka la soo jeediyay xannibaad la'aan.
Nabadgelyada hirgelinta waxaa lagu xaqiijiyay natiijada hanti-dhowrka madax-bannaan ee ay samaysay Cure53, kaas oo hal mar baaray NTPsec, SecureDrop, Cryptocat, F-Droid iyo Dovecot. Hantidhawrku waxa uu daboolay xaqiijinta koodka isha waxaana ku daray imtixaano lagu ogaanayo dayacanka suurtagalka ah (arrimaha la xidhiidha xog-ururinta lama tixgelin). Guud ahaan, tayada koodhka ayaa lagu qiimeeyay mid aad u sarreeya, laakiin, si kastaba ha ahaatee, imtixaanku wuxuu muujiyay saddex dayacan oo keeni kara diidmada adeegga, iyo hal nuglaanta oo u oggolaanaysa borotokoolka in loo isticmaalo sidii cod-weyneeye taraafikada inta lagu jiro weerarrada DDoS. Dhibaatooyinkan mar hore ayaa la hagaajiyay, faallooyin laga sameeyay hagaajinta koodhka ayaa la tixgeliyey. Hantidhawrku waxa kale oo uu eegaa dayacanka la yaqaan iyo arrimaha qaybaha dhinac saddexaad ee ku lug leh, sida libdnet, WolfSSL, Unity, Libuv iyo lua-crypt. Arrimuhu inta badan waa sahlan yihiin, marka laga reebo MITM ee WolfSSL (CVE-2021-3336).
Source: opennet.ru