keepass 被爆出安全漏洞，可泄露主密码

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 537 天前的主题，其中的信息可能已经有所发展或是发生改变。

IT 之家 5 月 18 日消息，名为“vdohney”的网络专家近日在密码管理工具 KeePass 中发现漏洞，追踪编号为 CVE-2023-32784 ，可以内存中检索出该软件的主密码。

来源 it 之家： https://www.ithome.com/0/693/405.htm

密码软件还安全吗

KeePass

密码

主密码

漏洞

15 条回复 • 2023-05-18 19:19:11 +08:00

monkey110

2023-05-18 12:59:28 +08:00

电脑不中毒，不在网吧等公用设备上使用一般没事。

TsubasaHanekaw

2023-05-18 13:42:41 +08:00

.直接 dump 内存了.该关心的不是这些密码了.

iyiluo

2023-05-18 13:49:47 +08:00

都能检索内存，机器已经变成肉鸡

totoro52

2023-05-18 13:53:41 +08:00

人家都在你家里砸墙了，你问我这个门安不安全

NoOneNoBody

2023-05-18 14:04:40 +08:00

好吧，老子自己写一个，不过还是要经剪贴板……🐶

不过好奇为什么要存主密码？不是打开库时校验就够了么？

0o0O0o0O0o

2023-05-18 14:04:43 +08:00 via iPhone

锁定后从内存中清除密码是密码管理器的必备功能

gnup

2023-05-18 14:36:56 +08:00

内存泄漏发声在 Keepass 2.x
可以用 keepass 1.x ，缺点是只能保存一个附件
或者可以用 Linux 下的 keepassX 、keepassXC

oldshensheep

2023-05-18 14:44:26 +08:00

这个属于是编程上的失误

The flaw exploited here is that for every character typed, a leftover string is created in memory. Because of how .NET works, it is nearly impossible to get rid of it once it gets created. For example, when "Password" is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d. The POC application searches the dump for these patterns and offers a likely password character for each position in the password.

https://github.com/vdohney/keepass-password-dumper#how-it-works

benedict00

2023-05-18 14:47:30 +08:00

用 keepassxc 吧

oldshensheep

2023-05-18 14:52:48 +08:00

虽然没有在内存中存储密码，但是输入密码的时候会显示最后一位输入的字符，然后这个字符存在内存中，，比如输入 Pasword 就会有这几个字符串 •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d ，然后就可以获得密码（不能获得第一位，暴力搜索就行）。

如果你是通过复制主密码到输入框就不会被泄露。