Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
Supongo q muchos lo habreis recibido para los q no aqui lo posteo. - Original Message - From: Noticias Hispasec [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Tuesday, December 05, 2000 1:37 AM Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail Hispasec - una-al-día 05/12/2000 Todos los días una noticia de seguridad www.hispasec.com Vulnerabilidad en el cifrado de la password de KMail KMail es un cliente de correo electrónico muy difundido porque forma parte del conocido entorno KDE. Desafortunadamente, tiene una grave vulnerabilidad que permite que cualquier persona con acceso de lectura al fichero de configuración pueda descifrar inmediatamente la contraseña de correo. La configuración de las cuentas se guarda en el fichero .kde/share/config/kmailrc, en el cual hay una entrada denominada passwd que guarda la contraseña para acceder al servicio POP3. Esta contraseña se guarda cifrada, pero el algoritmo de cifrado es tan simple que convierte en trivial la tarea de recuperarla. El algoritmo de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c)) Por ejemplo, E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = . y E(kde) = E(k) E(d) E(e) = = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) = = ASCII(287-107) ASCII(287-100) ASCII(287-101) = = ASCII(180) ASCII(187) ASCII(186) = = ´»º Evidentemente, este hecho supone una seria amenaza para la seguridad de las contraseñas cifradas. Afortunadamente, KMail por defecto no guarda la contraseña POP3 sino que para hacerlo hay que activar la opción Store password in config file. A la vista del método de cifrado utilizado, recomendamos encarecidamente no utilizar dicha opción, a pesar de la incomodidad que ello supone. Existe, además, el problema adicional de que al borrar una cuenta toda la información de ésta, incluída la contraseña débilmente cifrada, permanece en el fichero de configuración. Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=772 Más información: KDE http://www.kde.org/ Julio César Hernández [EMAIL PROTECTED] (c) Hispasec, 2000 www.hispasec.com/copyright.asp
Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El Mar 05 Dic 2000 04:03, tomkat escribió: - -- Vulnerabilidad en el cifrado de la password de KMail KMail es un cliente de correo electrónico muy difundido porque forma parte del conocido entorno KDE. Desafortunadamente, tiene una grave vulnerabilidad que permite que cualquier persona con acceso de lectura al fichero de configuración pueda descifrar inmediatamente la contraseña de correo. Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la vulnerabilidad no es del kmail, si no del administrador de la máquina. Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan simple) para ocultar la lectura de ésta. - -- void practical_c(void){windows2000=++PC; linux=PC++;} Yo uso software libre (declaración a petición de Richard M. Stallman) Mario Teijeiro Otero mailto:asimovi at teleline dot es clave: correo con Asunto: [PGPKEY] Usr. Reg. 122438 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.4 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE6LOAWMKsc+XeZcdwRAgv+AJ9GsJGmRyxs+4l0nPXsXGHJ6iwZeQCfU+/e 4FAyrvmoL9Ye8yy6i8OBguY= =akWD -END PGP SIGNATURE-
Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
Hola. Mario Teijeiro Otero wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El Mar 05 Dic 2000 04:03, tomkat escribió: - -- Vulnerabilidad en el cifrado de la password de KMail KMail es un cliente de correo electrónico muy difundido porque forma parte del conocido entorno KDE. Desafortunadamente, tiene una grave vulnerabilidad que permite que cualquier persona con acceso de lectura al fichero de configuración pueda descifrar inmediatamente la contraseña de correo. Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la vulnerabilidad no es del kmail, si no del administrador de la máquina. Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan simple) para ocultar la lectura de ésta. Pero fetchmail rechaza ficheros de configuración con permisos distintos de 600. Saludos. -- José Esteban Granada. Spain.