In der National Vulnerability Database wurde gestern die CVE-2023-35866 eingetragen. Dort geht es um eine Sicherheitslücke in KeePassXC vor der Version 2.75. Die 2.7.5. erschien schon am 15.05. Dort wird beschrieben, dass ein lokaler Angreifer Änderungen an den Sicherheitseinstellungen vornehmen kann.
Also das Passwort ändern, oder ohne eine Bestätigung durch ein Masterpasswort, die Passwörter exportieren kann. Dieses „Problem“ wurde schon am 20. April auf GitHub gemeldet. Heute hat man im selben Beitrag darauf hingewiesen, dass es sich um keine Sicherheitslücke handelt.
„Ein lokaler Angreifer kann immer alles mit Ihrer Datenbank anstellen. Das ist so gewollt und funktioniert einfach so. KeePassXC ist kein Online-Dienst, sodass jede zusätzliche Passwortabfrage umgangen werden könnte. Außerdem gibt es für einen Angreifer keinen Grund, Ihr Passwort zu ändern. Wenn er Zugang zu Ihrer freigeschalteten Datenbank hat, kann er auf die darin enthaltenen Daten zugreifen, unabhängig davon, wie das Passwort lautet. Sie können Sie auch nicht aussperren, es sei denn, Sie versäumen es, Backups zu erstellen … Die Prämisse des CVE beruht auf einem grundlegenden Missverständnis des Sicherheitsmodells von KeePassXC.“
Es handelt sich also um kein Sicherheitsproblem in dem Sinne. Auch wenn es sicherlich trotzdem besser wäre, eine Master-Passwort-Abfrage optional anzubieten.
Danke auch an Demora für den Hinweis.
Warum sollte es für einen Angreifer keinen Grund geben, das Passwort zu ändern?
Er könnte ja als Ziel haben, den Besitzer der Datenbank auszusperren, um zu verhindern, das er seine darin gespeicherten Passwörter ändern kann.
Und natürlich sollte grundsätzlich eine Änderung der Sicherheitseinstellungen nur mit Eingabe des Master-Passworts möglich sein. Nicht optional, sondern verpflichtend!
Und alleine schon die Möglichkeit, seine Passwortdatenbank für andere freischalten zu können ist ziemlich fragwürdig.
1) Die KeePass Datenbank ist lokal auf deiner Festplatte gespeichert und wird lokal von KeePass geöffnet.
2) Man sollte immer ein Backup von der Datebank machen, zb. falls deine Festplatte kaputt geht.
3) Um sein Master Password zu ädern muss man die Datenbank erst entspären, natürlich selber schuld wenn man die Datenbank durgehend am PC offen lässt und ein Fremder dein Haus betritt um nur das Password zu ändern.
Im Grunde dasselbe Affentheater um angebliche Sicherheitslücken wie unlängst bei Keepass. Hauptsache Angst und Unsicherheit unter den Menschen verbreiten… Danke dass ihr es auch dazu geschrieben habt.
Einige „Sicherheitsfachleute“ werden wohl erst zufrieden sein, wenn die Nutzerschaft in einen zugelöteten Konservendose steckt und da versucht, irgendwie zu arbeiten. Schon schlimm genug dass man bei manchen Linuxdistris nicht mal länger dauernde Updates unbeaufsichtigt durch laufen lassen kann, weil mittendrin irgendein dämliches Timeout zuschlägt und das Adminpasswort neu eingetragen werden muss – keine Ahnung an welcher Stelle sowas umgestellt wird, Suche danach ist genauso Quälerei weil man sich durch uralten irrerelevanten Müll quälen muss. Schlimmer als Windows, mittlerweile.
Ich synchronisiere meine KeePass Datenbank über OneDrive, weil ich dachte, dass die Datenbankdatei verschlüsselt ist und nur mit dem Masterpasswort entschlüsselt werden kann.
Somit habe ich meine Passwörter immer an meinem PC und Laptop in aktueller Version mit dabei.
Heißt das jetzt, falls jemand die Datei über irgendwelche Sicherheitslücken herunterladen kann, könnte er diese ohne mein Masterpasswort mit KeePassXC öffnen?
Oder habe ich das falsch verstanden?
gepostet mit der Deskmodder.de-App für Android