DFN-CERT-2018-0037 QtPass: Eine Schwachstelle ermöglicht das Erraten von Passwörtern [Linux][Fedora]

DFN-CERT-2018-0037 QtPass: Eine Schwachstelle ermöglicht das Erraten von Passwörtern [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

QtPass QUI < 1.2.1 Betroffene Plattformen: GNU/Linux Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Erraten von Passwörtern, welche mit QtPass erstellt wurden. Das offizielle Release von QtPass in der Version 1.2.1 behebt diese Schachstelle. Für Fedora 26 und 27 stehen ebenfalls Sicherheitsupdates für das Paket 'qtpass' im Status 'testing' zur Behebung der Schwachstelle bereit. Die Hersteller von QtPass empfehlen allen Nutzern der Software dringend alle Passwörter, die mit QtPass erzeugt wurden, nach dem Update neu zu generieren. Patch: Fedora Security Update FEDORA-2018-57c3a424eb (Fedora 27, qtpass-1.2.1-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2018-57c3a424eb

Patch:

Fedora Security Update FEDORA-2018-5aa21dc9a3 (Fedora 26,
qtpass-1.2.1-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-5aa21dc9a3

Patch:

QtPass 1.2.1 Release Notes

https://github.com/IJHack/QtPass/releases/tag/v1.2.1

CVE-2017-18021: Schwachstelle in QtPass ermöglicht Erraten von Passwörtern

Eine fehlerhafte Implementierung des Algorithmus für ein neues zufälliges
Passwort in QtPass limitiert die Anzahl möglicher Passwörter auf 1.000.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0037/

Fedora Security Update FEDORA-2018-57c3a424eb (Fedora 27, qtpass-1.2.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-57c3a424eb

Fedora Security Update FEDORA-2018-5aa21dc9a3 (Fedora 26, qtpass-1.2.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-5aa21dc9a3

QtPass 1.2.1 Release Notes:
https://github.com/IJHack/QtPass/releases/tag/v1.2.1

QtPass GitHub Issue #338: Insecure Password Generation:
https://github.com/IJHack/QtPass/issues/338

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben