Pentest Blog

10. April 2017 – Advisories

SYSS-2015-035 und 036: Schwachstellen in MATESO Password Safe and Repository Enterprise v7.4.4

Neue Security Advisories von Expert IT-Security Consultant Matthias Deeg

In der Passwort-Management-Software Password Safe and Repository Enterprise v7.4.4 Build 2247 des Herstellers MATESO GmbH konnte Expert IT-Security Consultant Matthias Deeg im Jahr 2015 vier, teils kritische Schwachstellen finden (siehe auch Schwachstellen in MATESO Password Safe and Repository Entersprise, 12.10.2015).

Die mittlerweile veröffentlichte Softwareversion Password Safe and Repository Enterprise 8 ist von keiner der damals gefundenen Schwachstellen betroffen.

Durch Ausnutzen der zwei Sicherheitsschwachstellen SYSS-2015-035 und SYSS-2015-036 ist ein Angreifer zum einen unter Verwendung einer bösartigen Clientsoftware (malicious client) in der Lage, seine Berechtigungen zu erweitern (Rechteeskalation), und zum anderen mit Zugriff auf eine synchronisierte Datenbank (Offline-Datenbank) von Password Safe and Repository Enterprise auf Anmeldedaten fremder Benutzer zuzugreifen, wie beispielsweise dem eingebauten administrativen Benutzerkonto.

Ausführliche Informationen zu diesen beiden behobenen Schwachstellen finden Sie in unseren veröffentlichten Security Advisories:/You will find detailed information about this security issues in our Security Advisories: 

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Termine

03.05.2017
SySS-Schulung – Secu5: IT-Recht und Datenschutz für IT-Verantwortliche
09.05.2017 - 10.05.2017
SySS-Schulung – Secu3: Incident Detection
16.05.2017 - 18.05.2017
SySS-Schulung – Hack3: Angriffe gegen Windows-basierte Netzwerke
18.05.2017
Workshop Planning and Implementation of Penetration Tests, Sebastian Schreiber, Zürich