ニュース
フリーのパスワード管理ツール「KeePass」に脆弱性、マスターパスワードを復元される
概念実証が公開、修正版は来月リリースされる見込み
2023年5月19日 17:25
オープンソースのパスワード管理ツール「KeePass」に、メモリダンプでマスターパスワードを復元できてしまう脆弱性「CVE-2023-32784」が発見された。このことを証明する概念実証(PoC)ツール「KeePass 2.X Master Password Dumper」が、「GitHub」で公開されている。
v2.x系統の「KeePass」はパスワードの入力を受け付けるため、カスタム開発されたテキストボックス「SecureTextBoxEx」を利用している。このコントロールに文字が入力されると、たとえば「Password」と入力した場合、「•a」、「••s」「•••s」、「••w」、「••o」、「••r」、「••d」といった文字列の残骸がメモリ上に残ってしまうという。これは.NETの仕組み上、一度作成されると取り除くことが難しい。しかも、メモリ上での順序が決まっている可能性が高く、メモリをダンプすれば、最初の一文字を除き平文で復元できてしまうことがある。
ちなみに、このコントロールはマスターパスワード以外の、一般のパスワードを入力する際にも用いられるため、同様の手法で復元できるとのこと。ただし、これはキーボードで入力した場合だけで、クリップボードからコピーした場合は復元できない。
概念実証ツールの作者によると、本脆弱性は少なくとも以下のアプリには影響しない。
- KeePassXC
- Strongbox
- KeePass 1.X
.NETで書かれたオリジナルの「KeePass」v2.x系統でなければ、影響を受けない可能性が高い。
この問題は、6月初旬にリリース予定の「KeePass 2.54」で修正される見込み。公開され次第、アップデートすることをお勧めする。