Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Debian›Дистрибутивdebian

Libapache-session-perl

Уязвимости

3

Эксплуатируемые

0

Макс. CVSS

9.1

Макс. EPSS

0.00583

Распределение по критичности

Критический

3

Высокий

0

Средний

0

Низкий

0

Также сопоставлено как (исходные строки): libapache-session-perl

Топ уязвимостей

CVE-2026-5081Apache:::Сессия::Generate::ModUniqueId версии от 1.54 до 1.94 для Perl session ids небезопасны. Apache:::Сессия::Generate::ModUniqueId (добавлен в версии 1.54) использует значение переменной среды UNIQUE_ID для сайта. Переменная UNIQUE_ID устанавливается плагином Apache mod_unique_id, который генерирует уникальные идентификаторы для запроса. ИД основан на адресе IPv4, идентификаторе процесса, времени эпохи, 16-битном счетчике и индексе нитей без запутываний. IP-адрес сервера часто доступен для общественности, и, если он недоступен, можно догадаться из предыдущих выпусков сессий. О которых можно также догадаться из предыдущих сессий. Вспомогательно отметка легко угадать (и просочилась в заголовок ответа на дату HTTP). Цель mod_unique_id состоит в том, чтобы назначить уникальный идентификатор запросам, чтобы события могли быть соотнесены в разных журналах. Ид не предназначен и не подходит для целей безопасности.

CVE-2025-40931Apache:::Сессия::Generate::M35 версии до 1.94 для Perl создать небезопасный сессионный идентификатор. Apache:::Сессия::Генерация:::MD5 генерирует сеанс небезопасно. Генератор id сеанса по умолчанию возвращает хэш MD5, засеянный со встроенной функцией ранд(), временем эпохи и PID. PID будет исходить из небольшого набора чисел, и время эпохи может быть угасло, если он не просочился из заголовка даты HTTP. Встроенная функция рэнда непригодна для криптографического использования. Предсказуемые идентификаторы сеанса могут позволить злоумышленнику получить доступ к системам. Обратите внимание, что пакет libapache-session-perl в некоторых дистрибутивах Linux на основе Debian может быть исправлен для использования Crypt::URandom.

CVE-2013-10075Apache::Сессионные версии до 1.94 для Perl воссоздает удаленные сеансы. Сессия магазины Apache::Сессия::Снаружение::Файл и Apache::Сессия::Стория::DB_Файл создаст сеанс, которого не существует. Это может привести к возобновлению сессий, потенциально с данными, которые должны были быть удалены.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →