KeePass v2.54 fixes bug that leaked cleartext master password
KeePass ออกแพตช์เวอร์ชัน 2.54 เพื่อแก้ไขช่องโหว่ CVE-2023-32784 ที่อนุญาตให้แยกรหัสผ่านหลัก cleartext จากหน่วยความจำของแอปพลิเคชัน เมื่อสร้างฐานข้อมูลตัวจัดการรหัสผ่าน KeePass ใหม่ ผู้ใช้จะต้องสร้างรหัสผ่านหลัก ซึ่งใช้ในการเข้ารหัสฐานข้อมูล เมื่อเปิดฐานข้อมูลในอนาคต โดยผู้ใช้จะต้องป้อนรหัสหลักนี้เพื่อถอดรหัสและเข้าถึงข้อมูลประจำตัวที่เก็บไว้ภายใน ในเดือนพฤษภาคม 2023 นักวิจัยด้านความปลอดภัย vdohney ได้เปิดเผยช่องโหว่และการใช้ประโยชน์จาก POC ที่อนุญาตให้ดึงรหัสผ่านหลัก KeepPass ที่เป็นข้อความที่ชัดเจนบางส่วนออกจากการถ่ายโอนข้อมูลหน่วยความจำของแอปพลิเคชัน
ปัญหาอยู่ที่ SecureTextBoxEx เนื่องจากวิธีการประมวลผลอินพุต เมื่อผู้ใช้พิมพ์รหัสผ่าน จะมีสตริงที่เหลือ ตัวอย่างเช่น เมื่อพิมพ์ Password จะทำให้เกิดสตริงที่เหลือ: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d วิธีนี้จะช่วยให้ผู้ใช้สามารถกู้คืนอักขระของรหัสผ่านมาสเตอร์เกือบทั้งหมด ยกเว้นอักขระหนึ่งหรือสองตัวแรก แม้ว่าพื้นที่ทำงานของ KeePass จะถูกล็อกหรือเพิ่งปิดโปรแกรมไปเมื่อเร็วๆนี้ ซึ่งมัลแวร์ที่ขโมยข้อมูลหรือผู้โจมตีสามารถใช้เทคนิคนี้เพื่อดัมพ์ข้อมูลหน่วยความจำของโปรแกรม และส่งฐานข้อมูลของ KeePass กลับไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดึงรหัสผ่านแบบออฟไลน์จากการถ่ายโอนข้อมูลหน่วยความจำ เมื่อได้รับรหัสผ่านแล้ว พวกเขาสามารถเปิดฐานข้อมูลรหัสผ่านของ KeePass และเข้าถึงข้อมูลประจำตัวของบัญชีที่บันทึกไว้ทั้งหมดได้ ในช่วงสุดสัปดาห์ที่ผ่านมา Dominik Reichl ได้เปิดตัว KeePass 2.54 เร็วกว่าที่คาดไว้ และขอแนะนำให้ผู้ใช้ทั้งหมดอัปเกรดเป็นเวอร์ชันใหม่ โดยผู้ใช้ KeePass 1.x, Strongbox หรือ KeePassXC ไม่ได้รับผลกระทบจากช่องโหว่ CVE-2023-32784 ดังนั้นจึงไม่จำเป็นต้องโอนย้ายไปยังรุ่นที่ใหม่กว่า เพื่อแก้ไขช่องโหว่ขณะนี้ KeePass ใช้ Windows API เพื่อตั้งค่าหรือดึงข้อมูลจากกล่องข้อความ ป้องกันการสร้างสตริงที่มีการจัดการที่อาจถูกดัมพ์จากหน่วยความจำ Reichl ยังแนะนำว่า dummy strings ที่มีอักขระแบบสุ่มในหน่วยความจำของกระบวนการ KeePass ทำให้ยากต่อการดึงเศษของรหัสผ่านจากหน่วยความจำและรวมเข้าด้วยกันเป็นรหัสผ่านหลักที่ถูกต้อง
โดย KeePass เวอร์ชัน 2.5.4 ยังแนะนำการอัปเดตด้านความปลอดภัยอื่นๆ เช่น การย้าย Triggers, การแทนที่ Global URL และ โปรไฟล์ตัวสร้างรหัสผ่าน ลงในไฟล์การกำหนดค่าที่บังคับใช้ ซึ่งให้ความปลอดภัยเพิ่มเติมจากการโจมตีที่แก้ไขไฟล์การกำหนดค่า KeePass หากการ Triggers, การแทนที่ Global URL และ โปรไฟล์ตัวสร้างรหัสผ่านไม่ได้ถูกจัดเก็บในการกำหนดค่าที่บังคับใช้ เนื่องจากสร้างขึ้นโดยใช้เวอร์ชันก่อนหน้า และจะถูกปิดใช้งานโดยอัตโนมัติใน 2.54 และผู้ใช้จะต้องเปิดใช้งานด้วยตนเองจากเมนูการตั้งค่า ผู้ใช้ที่ไม่สามารถอัปเกรดเป็น KeePass 2.54 ได้แนะนำให้รีเซ็ตรหัสผ่านมาสเตอร์ ลบแครชดัมพ์ ไฟล์ไฮเบอร์เนต และสลับไฟล์ที่อาจมีส่วนของรหัสผ่านมาสเตอร์ หรือทำการติดตั้งระบบปฏิบัติการใหม่ โดยปัญหานี้มีผลกับรหัสผ่านที่พิมพ์ในแบบฟอร์มอินพุตของโปรแกรมเท่านั้น ดังนั้นหากข้อมูลประจำตัวถูกคัดลอกและวางลงในช่อง จะไม่มีการสร้างสตริงข้อมูลรั่วไหลในหน่วยความจำ
https://www.bleepingcomputer.com/news/security/keepass-v254-fixes-bug-that-leaked-cleartext-master-password/