subject:"Fw\: una\-al\-dia \(05\/12\/2000\) Vulnerabilidad en el cifrado de la password de KMail"

Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

2000-12-05 Por tema tomkat

Supongo q muchos lo habreis recibido para los q no aqui lo posteo.
- Original Message -
From: Noticias Hispasec [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Tuesday, December 05, 2000 1:37 AM
Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password
de KMail

  Hispasec - una-al-día   05/12/2000
  Todos los días una noticia de seguridad   www.hispasec.com

 Vulnerabilidad en el cifrado de la password de KMail

 KMail es un cliente de correo electrónico muy difundido porque forma
 parte del conocido entorno KDE. Desafortunadamente, tiene una grave
 vulnerabilidad que permite que cualquier persona con acceso de lectura
 al fichero de configuración pueda descifrar inmediatamente la
 contraseña de correo.

 La configuración de las cuentas se guarda en el fichero
 .kde/share/config/kmailrc, en el cual hay una entrada denominada
 passwd que guarda la contraseña para acceder al servicio POP3. Esta
 contraseña se guarda cifrada, pero el algoritmo de cifrado es tan
 simple que convierte en trivial la tarea de recuperarla. El algoritmo
 de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))

 Por ejemplo,

 E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = .

 y

 E(kde) = E(k) E(d) E(e) =
 = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) =
 = ASCII(287-107) ASCII(287-100) ASCII(287-101) =
 = ASCII(180) ASCII(187) ASCII(186) =
 = ´»º

 Evidentemente, este hecho supone una seria amenaza para la seguridad
 de las contraseñas cifradas. Afortunadamente, KMail por defecto no
 guarda la contraseña POP3 sino que para hacerlo hay que activar la
 opción Store password in config file. A la vista del método de
 cifrado utilizado, recomendamos encarecidamente no utilizar dicha
 opción, a pesar de la incomodidad que ello supone.

 Existe, además, el problema adicional de que al borrar una cuenta toda
 la información de ésta, incluída la contraseña débilmente cifrada,
 permanece en el fichero de configuración.

 Opina sobre esta noticia:
 http://www.hispasec.com/unaaldiacom.asp?id=772

 Más información:

 KDE
 http://www.kde.org/

 Julio César Hernández
 [EMAIL PROTECTED]

  (c) Hispasec, 2000  www.hispasec.com/copyright.asp

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

2000-12-05 Por tema Mario Teijeiro Otero

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El Mar 05 Dic 2000 04:03, tomkat escribió:
- --
 
  Vulnerabilidad en el cifrado de la password de KMail
  
  KMail es un cliente de correo electrónico muy difundido porque forma
  parte del conocido entorno KDE. Desafortunadamente, tiene una grave
  vulnerabilidad que permite que cualquier persona con acceso de lectura
  al fichero de configuración pueda descifrar inmediatamente la
  contraseña de correo.
 

Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir
la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el 
caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la
vulnerabilidad no es del kmail, si no del administrador de la máquina.

Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más 
grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan 
simple) para ocultar la lectura de ésta.

- -- 
 void practical_c(void){windows2000=++PC; linux=PC++;} 
Yo uso software libre (declaración a petición de Richard M. Stallman)

Mario Teijeiro Otero   mailto:asimovi at teleline dot es 
clave: correo con Asunto: [PGPKEY] Usr. Reg. 122438   

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6LOAWMKsc+XeZcdwRAgv+AJ9GsJGmRyxs+4l0nPXsXGHJ6iwZeQCfU+/e
4FAyrvmoL9Ye8yy6i8OBguY=
=akWD
-END PGP SIGNATURE-

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

2000-12-05 Por tema José Esteban


Hola.

Mario Teijeiro Otero wrote:


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El Mar 05 Dic 2000 04:03, tomkat escribió:
- --


Vulnerabilidad en el cifrado de la password de KMail

KMail es un cliente de correo electrónico muy difundido porque forma
parte del conocido entorno KDE. Desafortunadamente, tiene una grave
vulnerabilidad que permite que cualquier persona con acceso de lectura
al fichero de configuración pueda descifrar inmediatamente la
contraseña de correo.





Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir
la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el 
caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la

vulnerabilidad no es del kmail, si no del administrador de la máquina.

Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más 
grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan 
simple) para ocultar la lectura de ésta.


Pero fetchmail rechaza ficheros de configuración con permisos distintos 
de 600.


Saludos.


--
José Esteban
Granada. Spain.

Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

3 matches

Site Navigation

Mail list logo

Footer information