{"id":4922,"date":"2023-06-10T21:41:09","date_gmt":"2023-06-10T19:41:09","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4922"},"modified":"2023-06-10T21:41:09","modified_gmt":"2023-06-10T19:41:09","slug":"keepass-ispravlja-ranjivost-glavne-lozinke","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2023\/06\/10\/keepass-ispravlja-ranjivost-glavne-lozinke\/","title":{"rendered":"KeePass ispravlja ranjivost glavne lozinke"},"content":{"rendered":"

Objavljena je nova verzija 2.54<\/em> menad\u017eera lozinki KeePass<\/em> koja ispravlja ranjivost CVE-2023-32784<\/em><\/a> koja je omogu\u0107avala preuzimanje glavne lozinke za otklju\u010davanje baze sa lozinkama<\/a>.<\/span><\/p>\n

\"safe\"

Image by iuriimotov<\/a> on Freepik<\/em><\/p><\/div>\n

Podsjetnik<\/strong><\/span><\/h2>\n

Prilikom kreiranja nove baze sa lozinkama u\u00a0 KeePass<\/em> menad\u017eeru lozinki, korisnici moraju kreirati glavnu lozinku, koja se koristi za \u0161ifrovanje baze podataka. Kada se idu\u0107i put bude otvarala baza sa lozinkama, od korisnika se tra\u017ei da unesu ovaj glavni klju\u010d da bi de\u0161ifrovao bazu i dobio pristup lozinkama koje se nalaze u njoj.<\/span><\/p>\n

U maju je sigurnosni istra\u017eiva\u010d pod nazivom \u201cvdohney<\/em>\u201d je otkrio ranjivost koja omogu\u0107ava u verzijama starijim od 2.54<\/em> preuzimanje glavnu lozinku u tekstualnom obliku iz memorije, \u010dak i kada je aplikacija zaklju\u010dana ili\u00a0 vi\u0161e ne radi. Ispis sadr\u017eaja memorije mo\u017ee biti KeePass<\/em> ispis procesa, datoteka za razmjenu podataka (pagefile.sys<\/em>), datoteka hibernacije (hiberfil.sys<\/em>) ili ispis \u010ditavog sistema u RAM<\/em> memoriji.<\/span><\/p>\n

Zlonamjerni softver<\/a> za kra\u0111u podataka ili zlonamjerni napada\u010di<\/a> bi mogli da koriste ovu ranjivost da preuzmu ispis i po\u0161alju ga zajedno sa KeePass<\/em> bazom lozinki nazad na udaljeni server radi preuzimanja lozinke iz otvorenog teksta iz memorije. Kada se lozinka preuzme, mogu otvoriti KeePass<\/em> bazu podataka lozinki i pristupiti svim sa\u010duvanim korisni\u010dkim lozinkama.<\/span><\/p>\n

KeePass<\/em> autor i glavni programer, Dominik<\/em> Reichl<\/em>, priznao je gre\u0161ku i obe\u0107ao da \u0107e uskoro objaviti ispravku, po\u0161to je ve\u0107 implementirao efikasno rje\u0161enje koje se testira u beta<\/em> verzijama.<\/span><\/p>\n

 <\/p>\n

Nova KeePass<\/em> verzija<\/strong><\/span><\/h3>\n

Autor i glavni programer, Dominik<\/em> Reichl<\/em> je objavio novu verziju KeePass<\/em> 2.54<\/em> ranije nego \u0161to je bilo prvobitno najavljeno<\/a> i svi korisnici koji koriste 2.x<\/em> ogranak bi trebalo da a\u017euriraju na novu verziju.<\/span><\/p>\n

Da bi popravio ranjivost, KeePass<\/em> sada koristi Windows<\/em> API<\/em> za postavljanje ili preuzimanje podataka iz okvira za tekst, spre\u010davaju\u0107i stvaranje upravljanih stringova koji se potencijalno mogu izbaciti iz memorije. Reichl<\/em> je tako\u0111e uveo \u201ela\u017ene<\/em> stringove<\/em>\u201c sa nasumi\u010dnih znakova u memoriju KeePass<\/em> procesa kako bi ote\u017eao preuzimanje fragmenata lozinke iz memorije i njihovo kombinovanje u va\u017eec\u0301u glavnu lozinku.<\/span><\/p>\n

KeePass<\/em> verzija 2.54<\/em> je donijela jo\u0161 neka sigurnosna pobolj\u0161anja:<\/span><\/p>\n

 <\/p>\n