Аудит безопасности KeePass: критические уязвимости не обнаружены

2016-11-22 8247 комментарии
Команда специалистов по информационной безопасности провела тщательный анализ кода менеджера паролей KeePass 1.31 в рамках проекта EU-FOSSA. Эксперты не нашли критических уязвимостей и проблем с высоким риском безопасности

В июле 2016 года мы сообщали, что популярный менеджер паролей KeePass пройдет аудит безопасности в рамках программы мониторинга открытого программного обеспечения EU-FOSSA при поддержке Еврокомиссии.

Полезные ссылки

EU-FOSSA - пилотный проект предназначен для повышения уровня доверия к программам с открытым исходным кодом за счет анализа безопасности таких приложений.

В рамках проекта был создан перечень программ с открытым исходным кодом, которыми пользуются члены Европейской Комиссии, были опубликованы исследования безопасности 14 открытых сообществ и был проведен аудит безопасности двух популярных приложений.

KeePass - менеджер паролей для Windows и Linux, который использует локальную базу данных для хранения паролей.

Программа поставляется с большим списком возможностей, которые можно расширить еще сильнее с помощью плагинов. Пользователь может активировать глобальные горячие клавиши и улучшить меры безопасности KeePass в настройках приложения.

Аудит безопасности KeePass

Команда специалистов по информационной безопасности провела тщательный анализ кода KeePass 1.31, но не актуальной версии KeePass 2.34. Хотя в отчетах KeePass 2.34 не упоминается, логично предположить, что продукт проявил  бы себя при аудите также, как и предшественник.

KeePass 1.x - ранняя версия менеджера паролей, лишенная многих функций KeePass 2.x . Для ее работы не требуется Microsoft .NET. KeePass 1.x не поддерживает привязку KeePass к учетной записи Windows и одноразовые пароли. Подробная таблица сравнения доступна по ссылке.

Эксперты провели анализ 84622 строк исходного кода и не нашли критических уязвимостей и проблем с высоким риском безопасности. Тем не менее, было выявлено пять проблем со средним риском, три проблемы с низким риском и 6 небольших ошибок в информационных целях.

“Критические и опасные уязвимости с высоким риском не были обнаружены. Среди найденных проблем - 5 ошибок со средним риском и 3 ошибки с низким риском. Оставшиеся 6 ошибок носят информационный характер.”

Обнаруженные исследователями проблемы представлены в подробном отчете, который можно загрузить на сайте проекта EU-FOSSA. Там же можно ознакомиться с результатами аудита безопасности сервера Apache.

Заключение

KeePass - качественный и безопасный менеджер паролей для Windows. Результаты аудита исходного кода подтверждают эти качества продукта, ведь критические уязвимости в программе не обнаружены.

По материалам gHacks

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте