Keepass用户请进，关于CVE-2023-24055

chachi

CVE - CVE-2023-24055 (mitre.org)

简单来说，Keepass软件（特指桌面客户端），有一个不依赖于密码数据库文件的全局配置文件（XML），其中有一个功能是trigger。
通过简单的修改这个全局配置文件，添加一个trigger，可以在用户无感知的情况下，在用户解锁密码数据库文件时，将密码数据库中的所有条目导出为平面文本文件，并可以调用其他程序进行处理，如使用powershell上传到网上的任意主机上。

目前keepass的主要作者Dominik Reichl拒绝承认这是一个漏洞，并拒绝进行任何积极的作为，如取消trigger功能或在导出时进行提示。
他认为本地文件的安全性应该由用户自己来承担。
具体见
KeePass / Discussion / Open Discussion: someone can read the passwords using export trigger (sourceforge.net)

目前已经有针对该漏洞的扫描及注入工具，可以自动扫描局域网内主机的C$下的文件，并导出文本内容到其他主机上。
理论上域管理员可以导出本域内所有用keepass用户的所有密码。


我的建议是，尽快转移到keepassxc 等没有trigger的密码管理软件，删除keepass2，避免误操作打开密码数据库文件，触发导出。


---------
UPDATE:2月9日 Keepass 2终于升级了2.53.1版本，导出时会再次要求密码数据库的主密码了，建议所有Keepass2用户立即升级

findpkq

中午就换，客户端还三天两头就要开次来着

月千一夜

但是用kp的原因之一不就是能配置trigger么
看了看QQ群对这个漏洞没啥反应……

— from OnePlus KB2000, Android 13 of S1 Next Goose v2.5.2-play

maritimus

确实，而且已经被讨论好几个月了...

不过keepass的trigger真的好用，还没见过别的支持trigger的keepass客户端

kinkix

对普通用户影响大吗

八八八云紫

kinkix 发表于 2023-2-7 11:01
对普通用户影响大吗

个人认为在家庭环境下用问题不大

chachi

我觉着对普通用户还是有影响的
注意这个配置文件是放在appdata目录的，任何程序或脚本修改它，不会触发UAC
也就是说，你只要运行了任何一个程序或脚本，他都可能静默修改你的keepass配置文件，用来将你的所有密码都导出到其他地方
等你发现的时候，你密码已经完全泄露了。

晨曦之下

windows有推荐的版本嘛
只需要最基本的密码解锁
trigger从来没用过 都是复制黏贴的..

Lazia

keepass的ui太陈旧了，自从发现xc就全转过去了，全局还是设了个ctrl+alt+p，浏览器用插件，解锁能用指纹或pin，比之前舒服很多。

—— 来自 OnePlus HD1900, Android 11上的 S1Next-鹅版 v2.5.2-play

闲暇

马克下，我的库还是放坚果云的

—— 来自 HUAWEI OCE-AN10, Android 12上的 S1Next-鹅版 v2.5.2-play

404489039

直接用Google

如将红莲

本来想说只能扫局域网下没什么关系…突然想起来公司里也用了keepaas

如将红莲

XC不支持WebDav么

chachi

如将红莲 发表于 2023-2-7 13:28
XC不支持WebDav么

建议用网盘，保存时自动加时间戳备份文件

sunbeach

仔细想想我的使用场景好像根本不用在意这个

如将红莲

chachi 发表于 2023-2-7 13:35
建议用网盘，保存时自动加时间戳备份文件

只能说确实不好适应，这软件有条目手动排序吗？就原版alt+up alt+down那个

chachi

如将红莲 发表于 2023-2-7 14:16
只能说确实不好适应，这软件有条目手动排序吗？就原版alt+up alt+down那个

不都是搜索 吗。。
个人习惯只能克服或替换了

kenqqex

你们怕的话给keepass.config.xml搞个什么只读啊之类的防修改权限不就好了...

maritimus

作者还是提供了解决办法的：用只读配置覆盖全局配置。见：https://keepass.info/help/kb/config_enf.html

adrftgyh

trigger是啥~~

另外我的keepass数据库放在本地不联网，应该没啥安全问题~~

qianoooo

我记得chrome有类似的问题 也是当做一个feature

ekdc11

一个可靠且免费的软件并不是那么容易的，Keepass 1 就没有 triggers。下面是对比的链接:

Edition Comparison - KeePass
https://keepass.info/compare.html

对于 Keepass 2 用户:
把重要设置/全部设置放 enforced config file， 然后存 %ProgramFiles% 下面就行了吧。

Enforced Configuration - KeePass
https://keepass.info/help/kb/config_enf.html

chachi

ekdc11 发表于 2023-2-7 22:59
一个可靠且免费的软件并不是那么容易的，Keepass 1 就没有 triggers。下面是对比的链接:

还要把keepass的应用程序目录设置成所有人都不可写
这只是治标
治本是取消trigger或导出密码时必须明确提示并要求输入主密码

不然靠用户自己保护文本形式的配置文件，无异于把密码写在文本文件里

clauderayvane

我日。明天就换 疲惫

DLAN

看了一下keepassXC没有像keeagent和onedrive同步的功能，算了继续用keepass2吧（反正有防火墙

xy2401

1、局域网有人可以改你电脑文件
2、你电脑有软件恶意访问其他文件
可以达成这两点 情况下不安全的地方海了去了吧

chachi

刚刚打了一大段字想说明下，开启trigger与否对盗窃密码难度的差别
想了想还是删了，大家自行判断吧

我觉着，对于来说大部分个人来说，这是高危，而不是中危
只要不修改，keepass2中的众多保护密码的设置都是可笑的

月千一夜

xy2401 发表于 2023-2-8 10:40
1、局域网有人可以改你电脑文件
2、你电脑有软件恶意访问其他文件
可以达成这两点 情况下不安全的地方海了 ...

或许有种情况，比如修改某个常用软件或工具然后加入恶意脚本，等用户运行了就后台去搜索电脑里的kp配置文件，然后再篡改之，然后将导出的上传到指定的地方
好吧也挺麻烦的

— from OnePlus KB2000, Android 13 of S1 Next Goose v2.5.2-play

chillicez

DLAN 发表于 2023-2-8 07:06
看了一下keepassXC没有像keeagent和onedrive同步的功能，算了继续用keepass2吧（反正有防火墙 ...

没搞懂，直接把数据文件放到onedrive同步目录不就完了？

DLAN

chillicez 发表于 2023-2-8 14:07
没搞懂，直接把数据文件放到onedrive同步目录不就完了？

趴在地上想了想，你说的对

论坛助手,iPhone

maritimus

chillicez 发表于 2023-2-8 14:07
没搞懂，直接把数据文件放到onedrive同步目录不就完了？

在特定情况下不行，比如你在手机端和pc端分别修改了数据库，同步时会出现冲突，这时候只能用keepass合并。原本的解决办法就是在保存的时候用trigger触发keepass同步，比较方便，现在看只能用enforced config。

chillicez

maritimus 发表于 2023-2-8 14:52
在特定情况下不行，比如你在手机端和pc端分别修改了数据库，同步时会出现冲突，这时候只能用keepass合并 ...

手机端设置成解锁数据库后自动同步，你这种场景太极端了

桂圆莲子

换了keepassXC 谢谢楼主

maritimus

白左 发表于 2023-2-8 18:58
这样有用吗……这是不是属于那个xml的一部分……

没用，这些都是xml的一部分，要用enforced config保障这部分设置不能改

如将红莲

ekdc11 发表于 2023-2-7 22:59
一个可靠且免费的软件并不是那么容易的，Keepass 1 就没有 triggers。下面是对比的链接:

对于 Keepass 2  ...

这么改了以后每次退出keepass都会报错不能保存配置文件有解决方案么，哪怕只是解锁了数据库什么都没做就退出了还是要报错

ekdc11

如将红莲 发表于 2023-2-8 22:49
这么改了以后每次退出keepass都会报错不能保存配置文件有解决方案么，哪怕只是解锁了数据库什么都没做就退 ...

你是不是把全部设置都锁起来了？

KeePass.config.enforced.xml 里面把 <PreferUserConfiguration>false</PreferUserConfiguration> 设置为 true，且把最近的路径、文件信息删掉 (我推测你的 kp2 在尝试更新这个)。

把这两组从 enforced config 里面去掉，即 kp2 之后会去 %appdata% 下面保存/读取最近的文件。

<LastUsedFile>
</LastUsedFile>

<MostRecentlyUsed>
</MostRecentlyUsed>

搞完可以看看锁定了的设置是不是还是灰色的，一般没问题。其实全锁起来也没问题，我一般 kp2 一直挂着，关机重启是没有提示的。