Sicherheitslücke in KeePassXC

Aus dem heise.de Bericht:

Zitat

"...Wenn sie Zugriff auf die entsperrte Datenbank haben,
haben sie auch Zugriff auf die Daten darin..."

Für mich trotzdem immernoch der Passwortmanager Nr.1

Weil, andere haben größere Schwächen/Probleme und die hier genannten "Schwachstellen"

lassen sich per Update beseitigen.

Gilt ja schliesslich für Alles, nicht nur Keepass XC, dass wenn mein System schon

kompromittiert wurde, natürlich der Angreifer alles sieht,

auch meine von mir geöffnete kdbx Datei. Und selbst wenn Sie ungeöffnet und verschlüsselt

geklaut wird, ist sie je nach Algorithmus mehr oder weniger schnell aufgeknackt.

Naja wer den Bericht durchliest merkt dass diese Meldung etwas übertrieben ist und darum auch gefordert wird den CVE zurück zu nehmen bzw abzuweisen.

Hier auch noch ein Link. Deskmodder.de

Die "Sicherheitslücke" ist, dass der User den Vault öffnet und offen lässt. Hier mal eine Übersetzung vom Hersteller:

Zitat von KeePassXC

Am 19. Juni 2023 wurde eine angebliche KeePassXC-Schwachstelle mit der Kennung CVE-2023-35866 für KeePassXC-Versionen bis 2.7.5 veröffentlicht. Als Entwickler von KeePassXC betrachten wir das Problem nicht als Sicherheitslücke und haben einen Antrag auf Ablehnung der CVE gestellt. Zusätzliche Informationen können in der Diskussion auf GitHub gefunden werden.

Das Hauptargument des CVE-Autors ist, dass ein Angreifer mit uneingeschränktem Zugriff auf eine bereits entsperrte Datenbank das Passwort exportieren oder ändern könnte, ohne die ursprünglichen Anmeldedaten zu benötigen. Wenn dies zutrifft, gibt es zahlreiche Hindernisse für die tatsächliche Ausführung dieser Angriffssequenz. Wenn der Angreifer auf diese Weise die Kontrolle über Ihren Computer verloren hat, könnte er außerdem eine beliebige Anzahl von Sicherheitsangriffen auf Ihre KeePassXC-Datenbank durchführen, unabhängig davon, ob vor dem Export oder der Änderung der Zugangsdaten Zugangsdaten erforderlich sind.

Zum jetzigen Zeitpunkt planen wir keine drastischen Änderungen am Programm, um dieser Eingabe zu begegnen. Wir beobachten auch den Antrag auf Ablehnung/Disput dieser CVE mit der Begründung, dass es sich nicht um eine Sicherheitslücke in unserer Software handelt. Informationen zu Abhilfemaßnahmen und anderen Faktoren finden Sie nach der Pause.

Die Begründung für die Ablehnung dieses CVEs lautet wie folgt:

Bei diesem Problem handelt es sich nicht um eine Sicherheitslücke. KeePassXC ist ein Offline-Passwortmanager und daher gibt es so etwas wie einen "authentifizierten Benutzer" nicht. Die Abfrage des Benutzers nach seinem Passwort, bevor er Änderungen an den Datenbankeinstellungen vornimmt, bietet keinen zusätzlichen Schutz vor einem lokalen Angreifer. Ein Angreifer kann IMMER Änderungen an der Datenbank vornehmen oder ihren Inhalt kopieren, wenn er Zugang zu ihr in unverschlüsselter Form erhält. Daran ändert auch eine Passwortabfrage nichts. Es gibt auch keinen "zweiten Faktor" für die "Authentifizierung" (und kann es auch nicht geben). Auch dies ist ein Konstruktionsmerkmal eines Offline-Passwortmanagers und kein Sicherheitsproblem. Das ist etwas anderes als bei Online-Webdiensten.

Soviel ich verstanden habe ist diese Lücke nur lokal ausnutzbar. Also wenn du direkt am Computer sitzt. Von Außen ist der aufwand vermutlich sehr groß.

MFG

Ich sehe das wie der Entwickler. Wenn jemand an meinem System mit geöffneter kdb DB sitzt spielt es keine Rolle mehr was er mit dem PW u.s.w. anstellen könnte. Er hat ja eh vollen Zugriff auf alle Daten in der DB.

Bei der CVE geht es wohl eher darum KeePassX zu diskreditieren. Quelloffen, keine Hintertüren für welchen Dienst auch immer u.s.w. Für mich existiert nicht mal ansatzweise eine Alternative.