Haavoittuvuus KeePass 2-salasananhallintatyökalussa

KeePass 2 -salasananhallintatyökalun päivitysten tarkastustoiminnossa on haavoittuvuus, joka mahdollistaa välimieshyökkäyksen, koska tieto uudesta päivityksestä ladataan suojaamattoman HTTP-yhteyden yli ja versiotieto-tiedostoa ei ole digitaalisesti allekirjoitettu.

KeePass 2 -salasananhallintatyökalun päivitysten tarkastustoiminnossa on haavoittuvuus, joka mahdollistaa välimieshyökkäyksen. Koska tieto uudesta päivityksestä ladataan suojaamattoman HTTP-yhteyden yli ja versiotieto-tiedostoa ei ole digitaalisesti allekirjoitettu, hyökkääjä voi esimerkiksi ARP-spooffauksen tai oman WLAN-tukiasemansa avulla ohjata käyttäjän lataamaan haitallisen KeePass 2 -version.

Uutta KeePass 2 -versiota ei kuitenkaan ladata eikä päivitetä automaattisesti, joten käyttäjä voi omalla tarkkaavaisuudellaan huomata mahdollisen väärennöksen tarkastamalla latauslähteen sekä ladatun tiedoston digitaalisen allekirjoituksen ja tarkistussumman.

Päivitys 14.6.2016: KeePass 2.34 korjaa haavoittuvuuden ja uusi versio on julkaistu valmistajan sivuilla.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

KeePass 2.33 ja aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmisto versioon 2.3.4 valmistajan sivuilta.
  • Tarkista lähde, josta lataat päivityksen ja suosi HTTPS-yhteyttä.
  • Tarkista lataamasi tiedoston tarkistussumma ja digitaalinen allekirjoitus sivulta http://keepass.info/integrity.html.
  • Päivitä versioon KeePass 2.34, kun se tulee saataville. Tästä versiosta eteenpäin hyväksytään vain digitaalisesti allekirjoitetut versiotieto-tiedostot.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , NCSC-FI , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248