KeePass soluciona el error que filtraba la contraseña maestra de texto claro

En KeePass 2.x anterior a la versión 2.54, era posible recuperar la contraseña maestra de texto claro de un volcado de memoria, incluso si el espacio de trabajo se encontraba bloqueado o ya no se estaba ejecutando.

Debido a la forma en que procesa la entrada, cuando el usuario escribe la contraseña, quedarán “cadenas sobrantes». Por ejemplo, cuando se escribe «Contraseña», se obtendrán estas cadenas sobrantes:

•a

••s

•••s

••••w

•••••o

••••••r

•••••••d

De tal manera que se deduce que la clave es password.

En la versión 2.54 se encontraban diferentes usos de API para configurar o recuperar datos de cuadros de texto, lo que evita la creación de cadenas administradas que potencialmente puedan volcarse de la memoria.

Dicha vulnerabilidad está identificada con un CVE-2023-32784, se clasifica con severidad ALTA y con un CVSS Base de 7.5.

Versiones afectadas

  • Anteriores a la 2.54

Solución

  • Actualizar KeePass a la versión 2.54 o superior.

Referencias

Para más información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:

  • https://www.bleepingcomputer.com/news/security/keepass-v254-fixes-bug-that-leaked-cleartext-master-password/
  • https://nvd.nist.gov/vuln/detail/CVE-2023-32784
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33143
  • https://socradar.io/vulnerability-in-keepass-password-manager-permits-retrieving-master-password-cve-2023-32784/