Er is een kritiek beveiligingslek ontdekt in EzGED3 versie 3.5.0 waarbij gebruikerswachtwoorden worden opgeslagen met een onveilige hashmethode md5(md5(wachtwoord)). Dit maakt het mogelijk voor aanvallers om efficiënte offline brute-force aanvallen uit te voeren, zodra deze wachtwoordhashes zijn uitgelekt.
Zonder het gebruik van salting en door het gebruik van een verouderd snelle algoritme, is het voor kwaadwillenden haalbaar om platte-tekst wachtwoorden te achterhalen met behulp van voorgecomputeerde tabellen of GPU-gebaseerde kraaktools.
Aanbevelingen
- Werk EzGED3 bij naar de veiligere versie 3.5.72.27183, zoals de leverancier heeft aangegeven dat het probleem daarin is verholpen.
