Passwordstate нашёл дыру: срочный апдейт жизневажен

Passwordstate, корпоративный менеджер паролей, на котором держится безопасность тысяч компаний, внезапно обнаружил у себя дыру почти размером с рублёвую инфляцию. Разработчик Click Studios поспешил сообщить, что появилось критическое обновление — версия 9.9, билд 9972, где закрыты две новые уязвимости, одна из которых позволяет обойти аутентификацию. Это значит, что злоумышленнику хватит хитро закрученного URL, чтобы попасть в святая святых — раздел администрирования. Прости, пользователь, но CVE ID баг пока не получил, так что оценить масштаб бедствия официально нельзя. Зато уверяют: чем проще эксплойт, тем выше опасность.

Для тех, кто не может обновиться мгновенно (а таких, как обычно, великое множество), существует костыль: ограничить IP-адреса, которым позволен экстренный доступ, в настройках системы. Разумеется, это "полумера на скорую руку", подчёркивает Click Studios — и всё равно заставляет обновляться как можно быстрее.

Passwordstate — это не просто место, где хранят пароли. Сюда затаскивают ещё и API-ключи, сертификаты, всевозможные секретики, как в старом детском сундучке. Продукт в первую очередь рассчитан на большие компании — им нужен локальный, с возможностью частичного облачного размещения, а главное — дешевле конкурентов. Правда, за низкий ценник придётся расплачиваться головной болью: по отзывам, его настройка не для слабонервных, сервера требует не хуже министерства обороны, а интерфейс способен отвратить даже утончённых эстетствующих айтишников.

Click Studios уверяет, что до сих пор Passwordstate используют больше 370 тысяч пользователей, распределённых по 29 тысячам организаций. Тут и госучреждения, и банки, и транснациональные корпорации, и даже несколько компаний из Fortune 500. Лучше им всем поспешить с обновлением, чтобы завтра не оказаться в новостях BleepingComputer — но уже не по своей воле.