KeePass: Update schließt mögliche Sicherheitslücke

Artikel_KeePass Kurz notiert: Anfang Juni wurde bekannt, dass die Scherheitslücke in KeePass, die durch den Update-Check verursacht wurde, erst einmal nicht geschlossen werden soll, da ein Fix eine HTTPS-Verbindung bedeuten würde und dies aus mehreren Gründen aktuell nicht möglich wäre. Während die Lücke nur unter bestimmten Umständen nutzbar ist, wurde sie nun mit Version 2.34 doch geschlossen. Die Versionsinformations-Datei, die beim Update-Check heruntergeladen wird, ist ab sofort nicht nur signiert, sondern wird auch über HTTPS geladen. Auch werden nun signierte Versionsinformations-Dateien für Plugins unterstützt. Download und Changelog der aktuellen KeePass-Version findet Ihr auf dieser Seite.

(Danke Fabian!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

16 Kommentare

  1. Vorbildlich… Ein Programm das ich fast täglich nutze

  2. Genial und zuverlässig.
    Perfekt mit den Pendants unter Linux KeePassX 2, unter Android Keepass2Android.

  3. Sehr gut, danke.

  4. Weiß jemand, ob das Problem auch mit 1.31 auftritt?

  5. Was für einen Grund könnte es geben, noch Version 1.31 einzusetzen? Doch nicht etwa die Verwendung von WinXP?

  6. Ein geniales Programm, welches auch ich seit vielen Jahren täglich nutze. Leider vergisst man bei solchen kostenlosen Tools oft die Leute, die dahinter stehen, und die da (oft nebenberuflich) viel Zeit und Energie reinstecken, und sich auch noch mit den ewigen Nörglern rumschlagen müssen. Ich habe gerade dem Entwickler Dominik Reichl eine Donation eingezahlt, und rufe hiermit alle, die das Programm regelmässig nutzen, ebenfalls dazu auf, Tut euren Entwicklern was Gutes, damit gute Software gut bleibt (was sicher nicht einfach ist) und weiterhin den technischen Gegebenheiten entsprechend weiterentwickelt werden kann!

  7. Dann ist der Autor ja seiner „Pflicht“ relativ schnell nachgekommen und alle können wieder beruhigt zu KeePass greifen. Die Passwortverwaltung schlecht hin. 🙂
    Meine Anerkennung an den Hersteller der sich seit vielen Jahren ohne Eigennutz bemüht Qualität für die Massen zu liefern.

  8. Warum bieter das Programm nur einen Update Check und keinen Update Service, so muss ich erst die Website aufrufen und die aktuelle Version downloaden?

  9. @femo: Das kann man als Sicherheitsfeature sehen. Der Update-Kanal kann gehackt werden und darüber läßt sich eine böse Version verteilen. Mit der Webseite und den Checksummen ist es schwieriger.

  10. Das ist kein Sicherheitsfeature, sondern Unvermögen.

  11. Christian Ott says:

    @femo
    Das ist mal ein Kommentar der Generation Y

  12. @Fishly:
    Es ist davon auszugehen, daß 1.31 das Problem noch nicht gelöst hat, da die Version von Anfang März ist.

    @Dork:
    z.B. Kompatibilitätsgründe beim Austausch der PW-Bibliothek zwischen Win und Mac Version. Zumindest war das für mich der Grund als ich noch beide Systeme benutzt habe.

    @femo:
    Meinst Du die Arbeit des Programmierers, oder Deinen Kommentar mit Unvermögen? 😉

  13. @Christian Ott
    Mit 31 zähle ich noch zur Generation Y?

  14. @femo: Normalerweise nein, da man mit 31 schon reifer ist. Aber Du scheinst es nicht zu sein, siehe Deine geposteten Kommentare – also gehörst Du wohl dazu.

  15. clarkkent says:

    was soll an Version 1.31 „falsch“ oder „unsicher“ sein, wenn man eh nicht über den update-check geht?

    die 1.xx Version braucht auch kein MS .NET Framework, was soll also daran „gefährlich“ sein? benutze ich seit vielen jahren…..

  16. Ich nutze auch immer noch Versionsreihe 1. Bietet alles, was ich benötige, warum soll ich also auf Version 2 umsteigen?