Vergangene Woche sorgte eine Sicherheitslücke im Open-Source-Passwort-Manager KeePass für Diskussionen. Sofern Angreifer Nutzerrechte im System haben, konnte die Konfiguration von KeePass so verändert werden, dass beim Start ohne weitere Rückmeldung ein Klartext-Export der Datenbank erstellt wurde (CVE-2023-24055). Der Entwickler stellt dieses Verhalten mit einer aktualisierten Version jetzt ab.

Die Richtlinie "Export – No Key Repeat" wurde in der aktuellen Keepass-Version 2.53.1 entfernt. Bei einem Passwort-Datenbank-Export erfolgt jetzt immer eine Rückfrage an Nutzerinnen und Nutzer. Im KeePass-Changelog steht, dass die Nutzer nun ihren Master-Key angeben müssen.

Es handele sich "nicht wirklich um eine Sicherheitslücke von KeePass", erläutert der Entwickler. Nutzer mit entsprechenden Zugriffsrechten auf die Konfigurationsdatei könnten in der Regel auf das gesamte Nutzerprofil zugreifen und damit viel weitreichendere Angriffe ausführen.

Allerdings ändert die Aktualisierung nichts an dem grundlegenden Problem, dass nach einem Trojaner-Befall auch die Passwörter von Betroffenen trotz des Einsatzes eines Passwort-Managers als kompromittiert gelten müssen. Bei einer Malware-Infektion sollten die betroffenen Nutzer die Passwörter umgehend ändern.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE