KeePass : finalement, l’éditeur retro-pédale et met à disposition une v2.53.1 pour combler l’ex-filtration potentielle de mots de passe en clair ! (et c’est un peu plus clair…)

Vulnérabilité (potentielle) au moins connue au bataillon, du côté de l’éditeur, depuis 2019, celle-ci pouvait permettre d’ex-filtrer des mots de passe en clair depuis le fichier de configuration du gestionnaire de mots de passe pour en modifier la teneur, en injectant, par exemple, un code malicieux. Assignée CVE-2023-24055 et mise en lumière, notamment, par le CERT (Belgique) depuis le 27 Janvier 2023, les éditeurs de KeePass estimait que la vulnérabilité n’en était “pas vraiment” une du fait qu’elle ne constituait pas une menace insécuritaire directe. Finalement et contre toute attente, sans doute par sagesse ou par précaution, les éditeurs sont revenus sur leur estimation de la situation en fournissant une rustine, dans le cadre de la version-logiciel KeePass 2.53.1.

En effet, disponible depuis le 9 Février 2023, cette nouvelle version intègre les changements (écrits tout en bas de la page des changements de la v2.53) suivants :

• Génération d’un processus de test-enfant pour le test KDF (annulation du test, au besoin, “plus proprement“) ;

• Suppression de “Exporter – aucune répétition de clé” : désormais et depuis la mise en lumière sécuritaire de la vulnérabilité, il sera systématiquement demandé le mot de passe maître (principal) pour exporter les données ;

• “Autres améliorations mineures“.

Une bonne nouvelle pour les aficionados et fidèles du logiciel qui ont été entendu : la mise à jour v2.53.1 est disponible (le logiciel la proposant, normalement, à chaque démarrage si non-encore appliquée) depuis le site officiel KeePass, en différentes versions dont Windows… A veiller !

Source : KeePass – v2.53.1 : changements de version.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message