Une nouvelle version du gestionnaire de mots de passe KeePass est disponible : KeePass 2.54. Cette nouvelle mouture permet de se protéger contre la faille de sécurité CVE-2023-32784.

Rappel sur la CVE-2023-32784

Mi-mai, la faille de sécurité CVE-2023-32784 présente dans KeePass avait fait parler d'elle : en l'exploitant, un attaquant peut récupérer le mot de passe maître d'une base KeePass, qu'elle soit déverrouillée ou verrouillée, grâce à un dump de la mémoire sur la machine locale. Cette méthode, associée à PoC "KeePass Master Password Dumper" fonctionne que ce soit à partir d'un dump mémoire de la RAM complète, du processus, du SWAP (pagefile.sys), ou du fichier d'hibernation de Windows (hiberfil.sys).

Une personne se présentant avec le pseudo "vdohney" est à l'origine de cette découverte ! Il n'existait pas de correctif puisque la vulnérabilité était présente aussi dans la dernière version de KeePass, à savoir 2.53.1 avant l'arrivée de version 2.54.

Enfin, sachez que les utilisateurs de KeePass XC ne sont pas concernés par cette faille de sécurité. En effet, elle est liée au framework .NET utilisé par KeePass, alors que KeePass XC n'utilise pas ce composant.

KeePass 2.54

Suite à la découverte de cette vulnérabilité, Dominik Reichl, le créateur de KeePass, avait développé un correctif en quelques jours. Toutefois, il avait annoncé que KeePass 2.54 sortirait en juillet 2023, et donc qu'il fallait attendre pour en bénéficier. La bonne nouvelle, c'est que KeePass 2.54 est déjà disponible, avec de l'avance sur le planning initial !

Dans le journal des modifications de cette nouvelle version, on peut lire : "Amélioration de la protection de la mémoire des processus pour les contrôles d'édition sécurisés (CVE-2023-32784)." - Au total, cette nouvelle version intègre quelques nouveautés et une petite vingtaine d'améliorations et corrections de bugs.

Tous les détails sont disponibles sur le site officiel : Changelog KeePass 2.54. Merci à Dominik Reichl pour son travail.

Il ne vous reste plus qu'à installer KeePass 2.54 !

The post Passez à KeePass 2.54 pour vous protéger de la CVE-2023-32784 ! first appeared on IT-Connect.