Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

To: <debian-user-spanish@lists.debian.org>
Subject: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
From: "tomkat" <tomkat@jet.es>
Date: Mon, 4 Dec 2000 23:03:45 -0400
Message-id: <[🔎] 000a01c05e67$fb352360$6c6b4418@nasya>

Supongo q muchos lo habreis recibido para los q no aqui lo posteo.
----- Original Message -----
From: "Noticias Hispasec" <noticias@hispasec.com>
To: <tomkat@jet.es>
Sent: Tuesday, December 05, 2000 1:37 AM
Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password
de KMail


> --------------------------------------------------------------------
>  Hispasec - una-al-día                                   05/12/2000
>  Todos los días una noticia de seguridad           www.hispasec.com
> --------------------------------------------------------------------
>
> Vulnerabilidad en el cifrado de la password de KMail
> ----------------------------------------------------
> KMail es un cliente de correo electrónico muy difundido porque forma
> parte del conocido entorno KDE. Desafortunadamente, tiene una grave
> vulnerabilidad que permite que cualquier persona con acceso de lectura
> al fichero de configuración pueda descifrar inmediatamente la
> contraseña de correo.
>
> La configuración de las cuentas se guarda en el fichero
> .kde/share/config/kmailrc, en el cual hay una entrada denominada
> passwd que guarda la contraseña para acceder al servicio POP3. Esta
> contraseña se guarda cifrada, pero el algoritmo de cifrado es tan
> simple que convierte en trivial la tarea de recuperarla. El algoritmo
> de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))
>
> Por ejemplo,
>
> E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = .
>
> y
>
> E(kde) = E(k) E(d) E(e) =
> = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) =
> = ASCII(287-107) ASCII(287-100) ASCII(287-101) =
> = ASCII(180) ASCII(187) ASCII(186) =
> = ´»º
>
> Evidentemente, este hecho supone una seria amenaza para la seguridad
> de las contraseñas cifradas. Afortunadamente, KMail por defecto no
> guarda la contraseña POP3 sino que para hacerlo hay que activar la
> opción "Store password in config file". A la vista del método de
> cifrado utilizado, recomendamos encarecidamente no utilizar dicha
> opción, a pesar de la incomodidad que ello supone.
>
> Existe, además, el problema adicional de que al borrar una cuenta toda
> la información de ésta, incluída la contraseña débilmente cifrada,
> permanece en el fichero de configuración.
>
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldiacom.asp?id=772
>
> Más información:
>
> KDE
> http://www.kde.org/
>
>
> Julio César Hernández
> jcesar@hispasec.com
>
>
> --------------------------------------------------------------------
>  (c) Hispasec, 2000                  www.hispasec.com/copyright.asp
> --------------------------------------------------------------------
>
>

Reply to:

Follow-Ups:
- Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
  - From: Mario Teijeiro Otero <mteijeiro@escomposlinux.org>

Prev by Date: GRABAR MUSICA...
Next by Date: Trident 9750 y XFree 3.3.6
Previous by thread: Re: GRABAR MUSICA...
Next by thread: Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
Index(es):
- Date
- Thread