Supongo q muchos lo habreis recibido para los q no aqui lo posteo. ----- Original Message ----- From: "Noticias Hispasec" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, December 05, 2000 1:37 AM Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
> -------------------------------------------------------------------- > Hispasec - una-al-d�a 05/12/2000 > Todos los d�as una noticia de seguridad www.hispasec.com > -------------------------------------------------------------------- > > Vulnerabilidad en el cifrado de la password de KMail > ---------------------------------------------------- > KMail es un cliente de correo electr�nico muy difundido porque forma > parte del conocido entorno KDE. Desafortunadamente, tiene una grave > vulnerabilidad que permite que cualquier persona con acceso de lectura > al fichero de configuraci�n pueda descifrar inmediatamente la > contrase�a de correo. > > La configuraci�n de las cuentas se guarda en el fichero > .kde/share/config/kmailrc, en el cual hay una entrada denominada > passwd que guarda la contrase�a para acceder al servicio POP3. Esta > contrase�a se guarda cifrada, pero el algoritmo de cifrado es tan > simple que convierte en trivial la tarea de recuperarla. El algoritmo > de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c)) > > Por ejemplo, > > E(�) = ASCII(287-ASCII(�)) = ASCII(287-241) = ASCII(46) = . > > y > > E(kde) = E(k) E(d) E(e) = > = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) = > = ASCII(287-107) ASCII(287-100) ASCII(287-101) = > = ASCII(180) ASCII(187) ASCII(186) = > = ��� > > Evidentemente, este hecho supone una seria amenaza para la seguridad > de las contrase�as cifradas. Afortunadamente, KMail por defecto no > guarda la contrase�a POP3 sino que para hacerlo hay que activar la > opci�n "Store password in config file". A la vista del m�todo de > cifrado utilizado, recomendamos encarecidamente no utilizar dicha > opci�n, a pesar de la incomodidad que ello supone. > > Existe, adem�s, el problema adicional de que al borrar una cuenta toda > la informaci�n de �sta, inclu�da la contrase�a d�bilmente cifrada, > permanece en el fichero de configuraci�n. > > Opina sobre esta noticia: > http://www.hispasec.com/unaaldiacom.asp?id=772 > > M�s informaci�n: > > KDE > http://www.kde.org/ > > > Julio C�sar Hern�ndez > [EMAIL PROTECTED] > > > -------------------------------------------------------------------- > (c) Hispasec, 2000 www.hispasec.com/copyright.asp > -------------------------------------------------------------------- > >
