ALT-PU-2024-12934-3

Обновление пакета keepass в ветке p9

Версия2.54-alt0.p10.1

Задание#347313

Опубликовано2024-12-05

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (4)

HIGH7.5

Уязвимость текстового поля для ввода пароля менеджера паролей KeePass, связанная с хранением учетных данных в незашифрованном виде, позволяющая нарушителю восстановить мастер-пароль в открытом виде

Опубликовано: 2023-06-13

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2023-32784

MEDIUM5.5

Уязвимость менеджера паролей KeePass, связанная с незашифрованным хранением критичной информации, позволяющая нарушителю получить пароли в открытом виде

Опубликовано: 2023-11-11Изменено: 2024-11-02

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.9

CVSS:2.0/AV:L/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2023-24055

MEDIUM5.5

KeePass through 2.53 (in a default installation) allows an attacker, who has write access to the XML configuration file, to obtain the cleartext passwords by adding an export trigger. NOTE: the vendor's position is that the password database is not intended to be secure against an attacker who has that level of access to the local PC.

Опубликовано: 2023-01-22Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Ссылки

HIGH7.5

In KeePass 2.x before 2.54, it is possible to recover the cleartext master password from a memory dump, even when a workspace is locked or no longer running. The memory dump can be a KeePass process dump, swap file (pagefile.sys), hibernation file (hiberfil.sys), or RAM dump of the entire system. The first character cannot be recovered. In 2.54, there is different API usage and/or random string insertion for mitigation.

Опубликовано: 2023-05-15Изменено: 2025-01-23

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки