Säkerhetsbrist i Keepass – huvudlösenord läcker via minnet

Permalänk
Melding Plague

Säkerhetsbrist i Keepass – huvudlösenord läcker via minnet

En allvarlig brist i lösenordshanteraren Keepass gör det möjligt att komma åt huvudlösenord via en enkel minnesattack.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Så det är först när man slagit in lösenordet en gång i keepass 2.X klienten som detta blir ett problem, ifall jag förstår det rätt?

Om man skriver in fel lösenord en gång, skrivs minnet över så att det inte längre går att läsa ut lösenordet?

Permalänk
Medlem

Beklämmande såklart men bra att en uppdatering är på väg!

Permalänk
Medlem

Hmm jag har kört Keepass i många år. Har det på alla enheter och databasen ligger på Google Drive.

Får hoppas dom rappar på med uppdateringen.

Permalänk
Medlem

Kör Keepass på jobbet så meddelade vår grupp detta iaf. Får hoppas på uppdatering snarast.
Kör 2.52 här.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Permalänk
Medlem

Skönt att höra att XC inte är påverkat.

Fråga till auditoriet - är det många som kör 2FA på sina lösenordshanterare? (Riktiga då, Lastpass etc är väl knappast att anse som säkra nu för tiden..)

Visa signatur

Krusidullen är stulen

Permalänk
Medlem

Tackar för en bra skriven artikel det sista stycket innehåller en bra beskrivning av varför det inte är något problem för de flesta men även varför den lokala säkerhetsbristen måste åtgärdas.

Permalänk
Medlem

Vilken lösenordshanterare (offline) ska man använda?

Visa signatur

JJ2 clan ladder

[1] Ryzen 5800X | 5500XT | Kingston A2000 | Lenovo G24-10 144Hz [2] Ryzen 5700G | WD Blue SN550 [3] Ryzen 5600G | Kingston A2000 [4] Ryzen 3600 | GT 740 | 850 EVO [5] Ryzen 3600 | Geforce 405 | 850 EVO (alla är i bruk)

Permalänk
Medlem
Skrivet av maweric:

Vilken lösenordshanterare (offline) ska man använda?

keepass

Permalänk
Medlem

Det här rör väl ingen för ni kör väl alla med krav på lösenord + krypteringsnyckel?

right?

Visa signatur

What evah! i'll do what i want! | Det stavas väl inte väll...såvida du inte ska skriva välling.
"Det var väl bra"

Permalänk
Medlem

Har för mig en annan sak som var säkerhetsrisk med Keepass var när man skrev in master lösenordet så kunde en hackade exportera det som en XML-fil där alla lösenord stod i klartext. Tror det var fixat i senaste versionen men är inte helt hundra.

Permalänk
Medlem

Rent krasst har man andra problem om en extern part kan köra privilegierade kommandon(minidump t.ex. i det här fallet) lokalt på en maskin.

Ponera att det rör en företags-PC, då kan man lika gärna dumpa LSASS och försöka skaffa intressantare konton- typ helpdesk/supportmedarbetare med höga behörigheter, klassiskt dålig säkerhetshygien och därav ett vanligt tillvägagångssätt för att röra sig lateralt.

Permalänk
Medlem
Skrivet av Chmat76:

Så det är först när man slagit in lösenordet en gång i keepass 2.X klienten som detta blir ett problem, ifall jag förstår det rätt?

Om man skriver in fel lösenord en gång, skrivs minnet över så att det inte längre går att läsa ut lösenordet?

Ja, de hämtar lösenordet från ram minnet, så den ligger ju inte kvar där för evigt heller och om du tex kopierar det från en text fil och klistrar in det så är det lugnt, varför man nu skulle ha master lösenordet nedskrivet, men det kan ju vara en workaround till 2.54 om inte annat.

https://thehackernews.com/2023/05/keepass-exploit-allows-atta...

Visa signatur

*Citera för svar*
Work smart, not hard.