KeePass Password Manager vulnerability： what you need to know - gHacks Tech News

2023-02-01 23:25:24 +08:00

ludofastora

The Federal Cyber Emergency Team of Belgium, cert.be, released a warning regarding KeePass. According to the warning, attackers with write access to the KeePass configuration file may modify it with triggers to export the entire password database in cleartext without user confirmation.

https://www.ghacks.net/2023/02/01/keepass-password-manager-vulnerability-what-you-need-to-know/

严格来讲，如果本身系统环境不安全的话，密码管理工具再安全也没用，不过还是建议大家桌面端用 keepass 的调整为 KeePassXC 不带有 trigger 的版本。

1602 次点击

所在节点

信息安全

4 条回复

sunshower

2023-02-01 23:57:23 +08:00

trigger 是什么，触发自动填充的吗？

ludofastora

2023-02-01 23:59:57 +08:00

@sunshower 就是触发器功能，比如可以保存后自动备份之类的

cycloner

2023-02-02 14:59:09 +08:00

临时解决办法，
不过 keepass 官方不认为这是个风险，https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/
我个人也认为既然都得到配置文件的写权限了，其实是电脑已经被黑了，能做的就太多了

cycloner

2023-02-02 15:00:47 +08:00

第一次发图片不知道怎么发上来，汗，参考看吧

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/912410

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.