ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡರೆ, ಈ ನ್ಯೂನತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು
ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕದಲ್ಲಿ ಮಾಹಿತಿಯು ಇತ್ತೀಚೆಗೆ ತಿಳಿದುಬಂದಿದೆ, ಕೀಪಾಸ್, ಆವೃತ್ತಿ 2.53 ವರೆಗೆ (ಡೀಫಾಲ್ಟ್ ಅನುಸ್ಥಾಪನೆಯಲ್ಲಿ) ಆಕ್ರಮಣಕಾರರನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಇದು XML ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗೆ ಬರಹ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದೆ, ಪ್ರಚೋದಕ ರಫ್ತು ಸೇರಿಸುವ ಮೂಲಕ ಸರಳ ಪಠ್ಯದಲ್ಲಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪಡೆಯಿರಿ.
ಕೀಪಾಸ್ ಬಗ್ಗೆ ತಿಳಿದಿಲ್ಲದವರಿಗೆ, ನೀವು ಅದನ್ನು ತಿಳಿದಿರಬೇಕು ಇದು ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಓಪನ್ ಸೋರ್ಸ್ ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕವಾಗಿದೆ ಲಾಸ್ಟ್ಪಾಸ್ ಅಥವಾ ಬಿಟ್ವಾರ್ಡನ್ನಂತಹ ಕ್ಲೌಡ್ನಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಪಾಸ್ವರ್ಡ್ಗಳ ಬದಲಿಗೆ ಸ್ಥಳೀಯವಾಗಿ ಸಂಗ್ರಹಿಸಲಾದ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
ಈ ಸ್ಥಳೀಯ ಡೇಟಾಬೇಸ್ಗಳನ್ನು ರಕ್ಷಿಸಲು, ಬಳಕೆದಾರರು ಅವುಗಳನ್ನು ಮಾಸ್ಟರ್ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದು ಇದರಿಂದ ಮಾಲ್ವೇರ್ ಅಥವಾ ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಸರಳವಾಗಿ ಕದಿಯಲು ಮತ್ತು ಅಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರವೇಶಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.
ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಸಿವಿಇ -2023-24055
CVE-2023-24055 ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಒಬ್ಬ ವ್ಯಕ್ತಿಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ ಗುರಿಯ ವ್ಯವಸ್ಥೆಗೆ ಬರೆಯುವ ಪ್ರವೇಶದೊಂದಿಗೆ KeePass XML ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಿ ಮತ್ತು ಮಾಲ್ವೇರ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡಿ ಸರಳ ಪಠ್ಯದಲ್ಲಿ ಎಲ್ಲಾ ಬಳಕೆದಾರಹೆಸರುಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಫ್ತು ಮಾಡುವ ಪ್ರಚೋದಕ.
ಸ್ಥಳೀಯ PC ಗೆ ಈ ಮಟ್ಟದ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರ ವಿರುದ್ಧ ಸುರಕ್ಷಿತವಾಗಿರಲು ಪಾಸ್ವರ್ಡ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿಲ್ಲ ಎಂಬುದು ಮಾರಾಟಗಾರರ ನಿಲುವು.
ಮುಂದಿನ ಬಾರಿ ಗುರಿಯು ಕೀಪಾಸ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಮತ್ತು ಡೇಟಾಬೇಸ್ ತೆರೆಯಲು ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮಾಸ್ಟರ್ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಿ, ರಫ್ತು ನಿಯಮವನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಡೇಟಾಬೇಸ್ನ ವಿಷಯಗಳನ್ನು ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ನಿಯಂತ್ರಣದಲ್ಲಿರುವ ಸಿಸ್ಟಮ್ಗೆ ಸೋರಿಕೆ ಮಾಡಬಹುದಾದ ಫೈಲ್ಗೆ ಉಳಿಸಲಾಗುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಈ ರಫ್ತು ಪ್ರಕ್ರಿಯೆಯು ಹಿನ್ನೆಲೆಯಲ್ಲಿ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ ಬಳಕೆದಾರರಿಗೆ ತಿಳಿಸದೆಯೇ ಅಥವಾ ಕೀಪಾಸ್ ಮಾಸ್ಟರ್ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಲು ಕೇಳುತ್ತದೆ ರಫ್ತು ಮಾಡುವ ಮೊದಲು ದೃಢೀಕರಣವಾಗಿ, ದಾಳಿಕೋರನಿಗೆ ಎಲ್ಲಾ ಸಂಗ್ರಹಿಸಿದ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮೌನವಾಗಿ ಪ್ರವೇಶಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಆದರೆ ನೆದರ್ಲ್ಯಾಂಡ್ಸ್ ಮತ್ತು ಬೆಲ್ಜಿಯಂನ CERT ತಂಡಗಳು ಸಹ ಭದ್ರತಾ ಸಲಹೆಗಳನ್ನು ನೀಡಿವೆ CVE-2023-24055 ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಅಭಿವೃದ್ಧಿ ತಂಡ ಇದನ್ನು ದುರ್ಬಲತೆ ಎಂದು ವರ್ಗೀಕರಿಸಬಾರದು ಎಂದು ಕೀಪಾಸ್ ವಾದಿಸುತ್ತದೆ ಏಕೆಂದರೆ ಗುರಿಯ ಸಾಧನಕ್ಕೆ ಬರೆಯುವ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರು ಇತರ ವಿಧಾನಗಳ ಮೂಲಕ ಕೀಪಾಸ್ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಬಹುದು.
ಬೆಲ್ಜಿಯಂ ಸಿಇಆರ್ಟಿ ತಂಡವು ಗಟ್ಟಿಯಾದ ಕಾನ್ಫಿಗರೇಶನ್ ವೈಶಿಷ್ಟ್ಯದ ಮೂಲಕ ತಗ್ಗಿಸುವಿಕೆಯ ಕ್ರಮವನ್ನು ಅಳವಡಿಸಲು ಸೂಚಿಸುತ್ತದೆ, "ಯಾವುದೇ ಪ್ಯಾಚ್ ಲಭ್ಯವಿರುವುದಿಲ್ಲ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಪ್ರಾಥಮಿಕವಾಗಿ KeePass ಸ್ಥಾಪನೆಗಾಗಿ ಬಳಕೆದಾರರ ಮೇಲೆ ಕೆಲವು ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಒತ್ತಾಯಿಸಲು ಬಯಸುವ ನೆಟ್ವರ್ಕ್ ನಿರ್ವಾಹಕರಿಗೆ ಉದ್ದೇಶಿಸಲಾಗಿದೆ, ಆದರೆ ಅಂತಿಮ ಬಳಕೆದಾರರು ತಮ್ಮ ಕೀಪಾಸ್ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಗಟ್ಟಿಗೊಳಿಸಲು ಸಹ ಇದನ್ನು ಬಳಸಬಹುದು. ಆದಾಗ್ಯೂ, ಅಂತಿಮ ಬಳಕೆದಾರರು ಈ ಫೈಲ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ ಮಾತ್ರ ಈ ಗಟ್ಟಿಯಾಗುವುದು ಅರ್ಥಪೂರ್ಣವಾಗಿರುತ್ತದೆ.
ಮತ್ತು ಅದು ಕೀಪಾಸ್ ಭದ್ರತಾ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವುದಿಲ್ಲ ಎಂದು ಸೂಚಿಸಿದೆ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು. ಒಮ್ಮೆ ದುರುದ್ದೇಶಪೂರಿತ ಆಕ್ರಮಣಕಾರರು ಬಲಿಪಶುವಿನ ಸಿಸ್ಟಮ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದರೆ, ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾದ ಕಳ್ಳತನವನ್ನು ತಡೆಯಲು ಯಾವುದೇ ಸಮಂಜಸವಾದ ಮಾರ್ಗವಿಲ್ಲ ಎಂಬುದು ಡೆವಲಪರ್ನ ನಿಲುವು.
ಆದಾಗ್ಯೂ, ಕೀಪಾಸ್ ನಿರ್ವಾಹಕರನ್ನು ನೀಡುತ್ತದೆ ವ್ಯವಸ್ಥೆಗಳ ಕೆಲವು ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಅನ್ವಯಿಸುವ ಮೂಲಕ ದುರುಪಯೋಗವನ್ನು ತಡೆಯುವ ಸಾಮರ್ಥ್ಯ:
- ಬಲವಂತದ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಎಂದು ಕರೆಯಲ್ಪಡುವ ಮೂಲಕ ಸಂರಚನೆಯ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ
- "ExportNoKey" ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು "ಸುಳ್ಳು" ಗೆ ಹೊಂದಿಸುವುದರಿಂದ ಉಳಿಸಿದ ಡೇಟಾವನ್ನು ರಫ್ತು ಮಾಡಲು ಮಾಸ್ಟರ್ ಪಾಸ್ವರ್ಡ್ ಅಗತ್ಯವಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.
- ಇದು ದುರುದ್ದೇಶಪೂರಿತ ವ್ಯಕ್ತಿಯನ್ನು ರಹಸ್ಯವಾಗಿ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ರಫ್ತು ಮಾಡುವುದನ್ನು ತಡೆಯುತ್ತದೆ.
KeePass.config.enforced.xml ಬಲವಂತದ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿನ ಸೆಟ್ಟಿಂಗ್ಗಳು ಜಾಗತಿಕ ಮತ್ತು ಸ್ಥಳೀಯ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳಲ್ಲಿನ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗಿಂತ ಆದ್ಯತೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತವೆ. ನಿಮ್ಮ ಕೀಪಾಸ್ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಗಟ್ಟಿಗೊಳಿಸುವುದಕ್ಕಾಗಿ ವಿವಿಧ ಆಯ್ಕೆಗಳನ್ನು ಕೀಪಾಸ್-ವರ್ಧಿತ-ಭದ್ರತೆ-ಕಾನ್ಫಿಗರೇಶನ್ ಗಿಟ್ಹಬ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾದ ಉಲ್ಲೇಖ ವಿಭಾಗದಲ್ಲಿ ದಾಖಲಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಸಕ್ರಿಯಗೊಳಿಸುವ ಕಾರ್ಯವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸಾಧ್ಯವಿದೆ (Xpath ಸೆಟ್ಟಿಂಗ್ಗಳು/ಅಪ್ಲಿಕೇಶನ್/ಸಿಸ್ಟಮ್ ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ).
ಕೀಪಾಸ್ ಪಾಸ್ವರ್ಡ್ ವಾಲ್ಟ್ಗಳನ್ನು ಬೆಂಬಲಿಸುವ ಮತ್ತೊಂದು ಪಾಸ್ವರ್ಡ್ ನಿರ್ವಾಹಕಕ್ಕೆ ಬದಲಾಯಿಸುವುದನ್ನು ಸಂಸ್ಥೆಗಳು ಪರಿಗಣಿಸಬಹುದು.
ಅಂತಿಮವಾಗಿ ರುನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.
ಮತ್ತು ಅದೇ ದುರ್ಬಲತೆಯು Keepassxc ಗೆ ಇರುತ್ತದೆ?