Hola.
Mario Teijeiro Otero wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El Mar 05 Dic 2000 04:03, tomkat escribi�:
- ------------------------------
Vulnerabilidad en el cifrado de la password de KMail
----------------------------------------------------
KMail es un cliente de correo electr�nico muy difundido porque forma
parte del conocido entorno KDE. Desafortunadamente, tiene una grave
vulnerabilidad que permite que cualquier persona con acceso de lectura
al fichero de configuraci�n pueda descifrar inmediatamente la
contrase�a de correo.
Yo no lo veo como una vulnerabilidad. Veamos, s�lamente puede conseguir
la clave quien tenga derecho de lectura al fichero ~/.kde/share..... En el
caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la
vulnerabilidad no es del kmail, si no del administrador de la m�quina.
Si no, el fetchmail, tb tendr�a una vulnerabilidad si cabe un poco m�s
grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan
simple) para ocultar la lectura de �sta.
Pero fetchmail rechaza ficheros de configuraci�n con permisos distintos
de 600.
Saludos.
--
Jos� Esteban
Granada. Spain.
