KeePass Version 2.34 schließt Sicherheitslücke

KeePass Logo

Anfang Juni wurde bekannt, dass KeePass 2 durch eine Schwachstelle in der integrierten Update-Funktion angreifbar ist. Der Entwickler wurde bereits im Februar über die Sicherheitslücke informiert, meinte dann aber nur, dass HTTPS aus mehreren Gründen keine praktikable Lösung sei. Im Juni meldete er sich dann bei Sourceforge und versprach eine baldige Lösung. Diese wurde dann überraschend schnell am 11.06.2016 in Form von KeePass 2.34 veröffentlicht.

Zum einen läuft der Update-Check nun über HTTPS (bisher HTTP) und zum anderen wird die Versionsinformations-Datei ab Version 2.34 digital signiert (RSA-4096 / SHA-512). Damit wurde die Sicherheitslücke behoben. Darüber hinaus erlaubt die neue Version nun auch Plugins die Nutzung von signierten Versionsinformations-Dateien. Eine Übersicht aller Änderungen findet ihr im Changelog:

Changes from 2.33 to 2.34:

New Features:

  • The version information file (which the optional update check downloads to see if there exists a newer version) is now digitally signed (using RSA-4096 / SHA-512); furthermore, it is downloaded over HTTPS.
  • Added option ‘Lock workspace when minimizing main window to tray’.
  • Added option ‘Esc minimizes to tray instead of locking the workspace’.
  • Added Ctrl+Q shortcut for closing KeePass (as alternative to Alt+F4).
  • Added UIFlags bit for disabling the ‘Check for Updates’ menu item.
  • The installers (regular and MSI) now create an empty ‘Plugins’ folder in the application directory, and the portable package now also contains such a folder.
  • Plugins: added support for digitally signed version information files.

Improvements:

  • Plugins are now loaded only directly from the application directory and from any subdirectory of the ‘Plugins’ folder in the application directory.
  • Improved startup performance (by filtering plugin candidates).
  • When closing a database, KeePass now searches and deletes any temporary files that may have been created and forgotten by MSHTML when printing failed.
  • CHM help file: improved high DPI support.
  • Various code optimizations.
  • Minor other improvements.

Bugfixes:

  • (None).

Download KeePass 2

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

Eine Antwort

  1. Uwe sagt:

    Es ist erfreulich, dass die Sicherheitslücke so rasch geschlossen wurde! Dass Plugins nun direkt geladen werden, empfinde ich ebenfalls als einen guten Schritt nach vorn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert