Schwachstellen in MATESO Password Safe and Repository Enterprise

In der Passwort-Management-Software Password Safe and Repository Enterprise v7.4.4 Build 2247 des Herstellers MATESO GmbH konnte Expert IT-Security Consultant Matthias Deeg mehrere, teils kritische Schwachstellen finden.

Zwei der insgesamt vier gemeldeten Sicherheitsprobleme wurden nach Informationen des Herstellers in der Softwareversion 7.5.0.2255 vollständig behoben, die am 5. Oktober 2015 veröffentlicht wurde (siehe Versionshistorie von Password Safe and Repository Enterprise unter der URL http://www.passwordsafe.de/support/versionshistorie.html).

Durch Ausnutzen dieser beiden nun behobenen Schwachstellen konnte zum einen ein Angreifer mit Zugriff auf eine synchronisierte Datenbank (Offline-Datenbank) von Password Safe and Repository Enterprise unautorisierten Zugriff auf die darin gespeicherten Informationen erlangen. Zum anderen konnten unzureichend geschützte Passwortinformationen von Benutzern der Passwort-Management-Software durch effiziente Passwort-Rate-Angriffe ermittelt werden.

Ausführliche Informationen zu diesen beiden behobenen Schwachstellen finden Sie in unseren veröffentlichten Security Advisories SYSS-2015-034 und SYSS-2015-037.

Die zwei weiteren durch die SySS GmbH gemeldeten Schwachstellen werden nach Informationen des Herstellers in der Softwareversion 8 vollständig behoben werden. Nach Erscheinen von Password Safe and Repository Enterprise Version 8 wird die SySS GmbH ausführliche Informationen zu diesen beiden Schwachstellen veröffentlichen.