CVE-2025-2814Версии Crypt::CBC между 1.21 и 3.05 для Perl могут использовать функцию rand() в качестве источника энтропии по умолчанию, что не является криптографически безопасным, для криптографических функций. Это влияет на операционные системы, где '/dev/urandom' недоступен. В этом случае Crypt::CBC вернется к использованию небезопасной функции rand(). Для получения случайных байтов рекомендуется использовать модули Crypt::URandom, Crypt::SysRandom или Sys::GetRandom, которые являются более безопасными и 'fork safe' [1][2][3]. В версии 3.06 исправлена уязвимость CVE-2025-2814 путем использования Crypt::URandom для чтения случайных байтов [4].
Источники:
- [1] https://perldoc.perl.org/functions/rand
- [2] https://metacpan.org/dist/Crypt-CBC/source/lib/Crypt/CBC.pm#L777
- [3] https://security.metacpan.org/docs/guides/random-data-for-security.html
- [4] https://github.com/lstein/Lib-Crypt-CBC/commit/37111f7cd894bcec46156ba7f40a49c126ebf535