Supongo q muchos lo habreis recibido para los q no aqui lo posteo. ----- Original Message ----- From: "Noticias Hispasec" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, December 05, 2000 1:37 AM Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail
> -------------------------------------------------------------------- > Hispasec - una-al-día 05/12/2000 > Todos los días una noticia de seguridad www.hispasec.com > -------------------------------------------------------------------- > > Vulnerabilidad en el cifrado de la password de KMail > ---------------------------------------------------- > KMail es un cliente de correo electrónico muy difundido porque forma > parte del conocido entorno KDE. Desafortunadamente, tiene una grave > vulnerabilidad que permite que cualquier persona con acceso de lectura > al fichero de configuración pueda descifrar inmediatamente la > contraseña de correo. > > La configuración de las cuentas se guarda en el fichero > .kde/share/config/kmailrc, en el cual hay una entrada denominada > passwd que guarda la contraseña para acceder al servicio POP3. Esta > contraseña se guarda cifrada, pero el algoritmo de cifrado es tan > simple que convierte en trivial la tarea de recuperarla. El algoritmo > de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c)) > > Por ejemplo, > > E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = . > > y > > E(kde) = E(k) E(d) E(e) = > = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) = > = ASCII(287-107) ASCII(287-100) ASCII(287-101) = > = ASCII(180) ASCII(187) ASCII(186) = > = ´»º > > Evidentemente, este hecho supone una seria amenaza para la seguridad > de las contraseñas cifradas. Afortunadamente, KMail por defecto no > guarda la contraseña POP3 sino que para hacerlo hay que activar la > opción "Store password in config file". A la vista del método de > cifrado utilizado, recomendamos encarecidamente no utilizar dicha > opción, a pesar de la incomodidad que ello supone. > > Existe, además, el problema adicional de que al borrar una cuenta toda > la información de ésta, incluída la contraseña débilmente cifrada, > permanece en el fichero de configuración. > > Opina sobre esta noticia: > http://www.hispasec.com/unaaldiacom.asp?id=772 > > Más información: > > KDE > http://www.kde.org/ > > > Julio César Hernández > [EMAIL PROTECTED] > > > -------------------------------------------------------------------- > (c) Hispasec, 2000 www.hispasec.com/copyright.asp > -------------------------------------------------------------------- > >