সাম্প্রতিক মাসগুলিতে দ্বিতীয়বারের মতো একজন নিরাপত্তা গবেষক ব্যাপকভাবে ব্যবহৃত KeePass ওপেন সোর্স পাসওয়ার্ড ম্যানেজারে একটি দুর্বলতা আবিষ্কার করেছেন।
এটি Windows, Linux, এবং macOS-এর জন্য KeePass 2.X সংস্করণগুলিকে প্রভাবিত করে এবং আক্রমণকারীদের মেমরি ডাম্প থেকে ক্লিয়ারটেক্সটে একটি লক্ষ্যের মাস্টার পাসওয়ার্ড পুনরুদ্ধার করার একটি উপায় দেয় — এমনকি ব্যবহারকারীর ওয়ার্কস্পেস বন্ধ থাকলেও।
যদিও KeePass'র রক্ষণাবেক্ষণকারী ত্রুটির জন্য একটি সংশোধন করেছে, এটি সাধারণত 2.54 সংস্করণ (সম্ভবত জুনের শুরুতে) প্রকাশ না হওয়া পর্যন্ত উপলব্ধ হবে না। ইতিমধ্যে, গবেষক যারা দুর্বলতা আবিষ্কার করেছেন — হিসাবে ট্র্যাক জন্য CVE-2023-32784 - ইতিমধ্যে আছে ধারণার প্রমাণ প্রকাশ করেছে GitHub এর জন্য।
"টার্গেট সিস্টেমে কোন কোড এক্সিকিউশনের প্রয়োজন নেই, শুধু একটি মেমরি ডাম্প," নিরাপত্তা গবেষক "vdhoney" গিটহাবে বলেছেন। "মেমরিটি কোথা থেকে এসেছে তা বিবেচ্য নয় - প্রক্রিয়া ডাম্প, সোয়াপ ফাইল (pagefile.sys), হাইবারনেশন ফাইল (hiberfil.sys), বা পুরো সিস্টেমের RAM ডাম্প হতে পারে।"
একজন আক্রমণকারী মাস্টার পাসওয়ার্ড পুনরুদ্ধার করতে পারে এমনকি যদি স্থানীয় ব্যবহারকারী ওয়ার্কস্পেসটি লক করে রাখে এবং KeePass আর চালু না থাকার পরেও, গবেষক বলেছেন।
Vdhoney দুর্বলতাকে এমন একটি হিসাবে বর্ণনা করেছে যা হোস্টের ফাইল সিস্টেম বা RAM-তে রিড অ্যাক্সেস সহ আক্রমণকারীই শোষণ করতে সক্ষম হবে। প্রায়শই, তবে, এর জন্য আক্রমণকারীর একটি সিস্টেমে শারীরিক অ্যাক্সেসের প্রয়োজন হয় না। দূরবর্তী আক্রমণকারীরা আজকাল নিয়মিতভাবে দুর্বলতার শোষণ, ফিশিং আক্রমণ, দূরবর্তী অ্যাক্সেস ট্রোজান এবং অন্যান্য পদ্ধতির মাধ্যমে এই ধরনের অ্যাক্সেস লাভ করে।
"যদি না আপনি বিশেষভাবে পরিশীলিত কারো দ্বারা লক্ষ্যবস্তু হওয়ার আশা করেন, আমি শান্ত থাকব," গবেষক যোগ করেছেন।
Vdhoney বলেছেন যে "SecureTextBoxEx" নামক পাসওয়ার্ড প্রবেশের জন্য একটি কীপাস কাস্টম বক্স ব্যবহারকারীর ইনপুট প্রক্রিয়া করে কীভাবে তার সাথে দুর্বলতার সম্পর্ক রয়েছে৷ যখন ব্যবহারকারী একটি পাসওয়ার্ড টাইপ করেন, তখন অবশিষ্ট স্ট্রিংগুলি থাকে যা আক্রমণকারীকে ক্লিয়ারটেক্সটে পাসওয়ার্ডটি পুনরায় একত্রিত করার অনুমতি দেয়, গবেষক বলেছেন। "উদাহরণস্বরূপ, যখন 'পাসওয়ার্ড' টাইপ করা হয়, তখন এর ফলে এই অবশিষ্ট স্ট্রিংগুলি আসবে: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d৷
জুনের শুরুতে প্যাচ
একটি ইন সোর্সফর্জে আলোচনার থ্রেড, KeePass রক্ষণাবেক্ষণকারী Dominik Reichl সমস্যাটি স্বীকার করেছেন এবং বলেছেন যে তিনি সমস্যা সমাধানের জন্য পাসওয়ার্ড ম্যানেজারে দুটি বর্ধন প্রয়োগ করেছেন।
বর্ধিতকরণগুলি পরবর্তী KeePass রিলিজে (2.54) অন্যান্য নিরাপত্তা-সম্পর্কিত বৈশিষ্ট্যগুলির সাথে অন্তর্ভুক্ত করা হবে, রেইচেল বলেছেন। তিনি প্রাথমিকভাবে ইঙ্গিত দিয়েছিলেন যে পরবর্তী দুই মাসের মধ্যে এটি ঘটবে, কিন্তু পরে নতুন সংস্করণের জন্য অনুমান ডেলিভারি তারিখ জুনের শুরুতে সংশোধন করে।
"স্পষ্ট করার জন্য, 'পরবর্তী দুই মাসের মধ্যে' একটি উচ্চ সীমানা হিসাবে বোঝানো হয়েছিল," রেইচল বলেছিলেন। "KeePass 2.54 রিলিজের জন্য একটি বাস্তবসম্মত অনুমান সম্ভবত 'জুন এর শুরুতে' (অর্থাৎ 2-3 সপ্তাহ), কিন্তু আমি এর গ্যারান্টি দিতে পারি না।"
পাসওয়ার্ড ম্যানেজার নিরাপত্তা সম্পর্কে প্রশ্ন
KeePass ব্যবহারকারীদের জন্য, সাম্প্রতিক মাসগুলিতে এটি দ্বিতীয়বার যে গবেষকরা সফ্টওয়্যারটির সাথে একটি নিরাপত্তা সমস্যা উন্মোচন করেছেন। ফেব্রুয়ারিতে, গবেষক অ্যালেক্স হার্নান্দেজ কিভাবে একজন আক্রমণকারী দেখিয়েছেন KeePass' XML কনফিগারেশন ফাইলে লেখার অ্যাক্সেস সহ পাসওয়ার্ড ডাটাবেস থেকে ক্লিয়ারটেক্সট পাসওয়ার্ড পুনরুদ্ধার করতে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে নিঃশব্দে রপ্তানি করার জন্য এটিকে সম্পাদনা করতে পারে।
যদিও দুর্বলতাটিকে একটি আনুষ্ঠানিক শনাক্তকারী বরাদ্দ করা হয়েছিল (জন্য CVE-2023-24055), KeePass নিজেই যে বর্ণনা বিতর্কিত এবং পাসওয়ার্ড ম্যানেজার বজায় রাখা হয়েছে এমন কারো কাছ থেকে আক্রমণ প্রতিরোধ করার জন্য ডিজাইন করা হয়নি যার ইতিমধ্যে একটি স্থানীয় পিসিতে উচ্চ স্তরের অ্যাক্সেস রয়েছে।
"কোনও পাসওয়ার্ড ম্যানেজার ব্যবহার করা নিরাপদ নয় যখন কোনও দূষিত অভিনেতা দ্বারা অপারেটিং পরিবেশের সাথে আপস করা হয়," কিপাস সেই সময়ে উল্লেখ করেছিলেন। "বেশিরভাগ ব্যবহারকারীর জন্য, সময়মত প্যাচ করা, সঠিকভাবে পরিচালিত এবং দায়িত্বের সাথে ব্যবহার করা উইন্ডো পরিবেশে চলার সময় KeePass-এর একটি ডিফল্ট ইনস্টলেশন নিরাপদ।"
নতুন KeyPass দুর্বলতা পাসওয়ার্ড ম্যানেজার নিরাপত্তা সম্পর্কে আলোচনাকে আরও কিছু সময়ের জন্য জীবিত রাখতে পারে। সাম্প্রতিক মাসগুলিতে, বেশ কয়েকটি ঘটনা ঘটেছে যা প্রধান পাসওয়ার্ড ম্যানেজার প্রযুক্তির সাথে সম্পর্কিত নিরাপত্তা সমস্যাগুলিকে হাইলাইট করেছে৷ যেমন ডিসেম্বরে, LastPass একটি ঘটনা প্রকাশ যেখানে একজন হুমকি অভিনেতা, কোম্পানিতে পূর্ববর্তী অনুপ্রবেশের প্রমাণপত্র ব্যবহার করে, তৃতীয় পক্ষের ক্লাউড পরিষেবা প্রদানকারীর কাছে সংরক্ষিত গ্রাহকের ডেটা অ্যাক্সেস করে।
জানুয়ারীতে, গুগলের গবেষকরা বিটওয়ার্ডেন, ড্যাশলেন এবং সাফারি পাসওয়ার্ড ম্যানেজার অটো-ফিলিং ব্যবহারকারীর শংসাপত্রগুলি অবিশ্বস্ত পৃষ্ঠাগুলিতে কোনও প্রম্পট না করেই পাসওয়ার্ড পরিচালকদের সম্পর্কে সতর্ক করা হয়েছে৷
ইতিমধ্যে হুমকি অভিনেতারা পাসওয়ার্ড ম্যানেজার পণ্যগুলির বিরুদ্ধে আক্রমণ বাড়িয়েছে, সম্ভবত এই জাতীয় সমস্যার ফলস্বরূপ।
জানুয়ারীতে, Bitwarden এবং 1Password পর্যবেক্ষণ রিপোর্ট Google অনুসন্ধান ফলাফলে অর্থপ্রদানের বিজ্ঞাপন যা ব্যবহারকারীদের নির্দেশিত করে যারা তাদের পাসওয়ার্ড পরিচালকদের স্পুফড সংস্করণ ডাউনলোড করার জন্য সাইটে বিজ্ঞাপনগুলি খুলেছে৷
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 7
- a
- সক্ষম
- সম্পর্কে
- প্রবেশ
- অ্যাক্সেসড
- স্বীকৃত
- অভিনেতা
- যোগ
- ঠিকানা
- আপনার নিকটস্থ বিজ্ঞাপন !
- পর
- বিরুদ্ধে
- Alex
- অনুমতি
- বরাবর
- ইতিমধ্যে
- an
- এবং
- কোন
- রয়েছি
- কাছাকাছি
- AS
- নির্ধারিত
- At
- আক্রমন
- সহজলভ্য
- BE
- পরিণত
- শুরু
- আবদ্ধ
- বক্স
- কিন্তু
- by
- নামক
- CAN
- না পারেন
- বন্ধ
- মেঘ
- কোড
- আসে
- কোম্পানি
- সংকটাপন্ন
- কনফিগারেশন
- পারা
- পরিচয়পত্র
- প্রথা
- ক্রেতা
- গ্রাহক তথ্য
- উপাত্ত
- ডেটাবেস
- তারিখ
- দিন
- ডিসেম্বর
- ডিফল্ট
- বিলি
- বর্ণিত
- পরিকল্পিত
- উন্নত
- আবিষ্কৃত
- আলোচনা
- do
- না
- মনমরা ভাব
- e
- গোড়ার দিকে
- উন্নত বৈশিষ্ট্য
- প্রবেশন
- সমগ্র
- পরিবেশ
- হিসাব
- এমন কি
- উদাহরণ
- ফাঁসি
- আশা করা
- কাজে লাগান
- কীর্তিকলাপ
- রপ্তানি
- বৈশিষ্ট্য
- ফেব্রুয়ারি
- ফাইল
- ঠিক করা
- ত্রুটি
- জন্য
- আনুষ্ঠানিকভাবে
- থেকে
- লাভ করা
- সাধারণত
- GitHub
- দেয়
- গুগল
- Google অনুসন্ধান
- জামিন
- ছিল
- ঘটা
- আছে
- he
- উচ্চ
- হাইলাইট করা
- নিমন্ত্রণকর্তা
- কিভাবে
- যাহোক
- HTTPS দ্বারা
- i
- আইডেন্টিফায়ার
- if
- বাস্তবায়িত
- in
- অন্তর্ভুক্ত
- জ্ঞাপিত
- প্রাথমিকভাবে
- ইনপুট
- স্থাপন
- উদাহরণ
- মধ্যে
- সমস্যা
- সমস্যা
- IT
- নিজেই
- জানুয়ারী
- JPG
- জুন
- মাত্র
- রাখা
- পরে
- বাকী
- উচ্চতা
- সম্ভবত
- লিনাক্স
- স্থানীয়
- লক
- আর
- MacOS এর
- মুখ্য
- পরিচালিত
- পরিচালক
- পরিচালকের
- পদ্ধতি
- মালিক
- ব্যাপার
- অভিপ্রেত
- এদিকে
- স্মৃতি
- পদ্ধতি
- মাসের
- অধিক
- সেতু
- নতুন
- পরবর্তী
- nst
- না।
- সুপরিচিত
- of
- প্রায়ই
- on
- ONE
- কেবল
- খোলা
- ওপেন সোর্স
- খোলা
- অপারেটিং
- or
- অন্যান্য
- দেওয়া
- পাসওয়ার্ড
- পাসওয়ার্ড ম্যানেজার
- পাসওয়ার্ড
- PC
- ফিশিং
- ফিশিং আক্রমণ
- শারীরিক
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- আগে
- সম্ভবত
- সমস্যা
- প্রক্রিয়া
- প্রসেস
- পণ্য
- সঠিকভাবে
- প্রদানকারী
- র্যাম
- পড়া
- বাস্তবানুগ
- সাম্প্রতিক
- সংশ্লিষ্ট
- মুক্তি
- দূরবর্তী
- দূরবর্তী প্রবেশাধিকার
- রিপোর্ট
- প্রয়োজন
- প্রয়োজনীয়
- গবেষক
- গবেষকরা
- ফল
- ফলাফল
- নিয়মিতভাবে
- দৌড়
- s
- Safari
- নিরাপদ
- বলেছেন
- সার্চ
- দ্বিতীয়
- নিরাপত্তা
- সেবা
- সার্ভিস প্রোভাইডার
- বিভিন্ন
- সাইট
- সফটওয়্যার
- কিছু
- কেউ
- বাস্তববুদ্ধিসম্পন্ন
- উৎস
- বিশেষভাবে
- সঞ্চিত
- এমন
- বিনিময়
- SYS
- পদ্ধতি
- লক্ষ্য
- লক্ষ্যবস্তু
- প্রযুক্তি
- যে
- সার্জারির
- তাদের
- সেখানে।
- এইগুলো
- তৃতীয় পক্ষের
- এই
- হুমকি
- সময়
- থেকে
- দুই
- ধরনের
- উন্মোচিত
- পর্যন্ত
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- সংস্করণ
- মাধ্যমে
- দুর্বলতা
- ছিল
- উপায়..
- সপ্তাহ
- কখন
- হু
- ব্যাপকভাবে
- ইচ্ছা
- জানালা
- সঙ্গে
- মধ্যে
- ছাড়া
- ওঁন
- would
- লেখা
- X
- এক্সএমএল
- আপনি
- zephyrnet
