Libcrypt-cbc-perl
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
4
Макс. EPSS
0.01397
Распределение по критичности
Критический
0
Высокий
0
Средний
1
Низкий
1
Также сопоставлено как (исходные строки): libcrypt-cbc-perl
Топ уязвимостей
CVE-2025-2814Версии Crypt::CBC между 1.21 и 3.05 для Perl могут использовать функцию rand() в качестве источника энтропии по умолчанию, что не является криптографически безопасным, для криптографических функций. Это влияет на операционные системы, где '/dev/urandom' недоступен. В этом случае Crypt::CBC вернется к использованию небезопасной функции rand(). Для получения случайных байтов рекомендуется использовать модули Crypt::URandom, Crypt::SysRandom или Sys::GetRandom, которые являются более безопасными и 'fork safe' [1][2][3]. В версии 3.06 исправлена уязвимость CVE-2025-2814 путем использования Crypt::URandom для чтения случайных байтов [4].
Источники:
- [1] https://perldoc.perl.org/functions/rand
- [2] https://metacpan.org/dist/Crypt-CBC/source/lib/Crypt/CBC.pm#L777
- [3] https://security.metacpan.org/docs/guides/random-data-for-security.html
- [4] https://github.com/lstein/Lib-Crypt-CBC/commit/37111f7cd894bcec46156ba7f40a49c126ebf535
CVE-2006-0898Crypt::CBC Perl module 2.16 и более ранние версии, при работе в режиме RandomIV, использует вектор инициализации (IV) размером 8 байт, что приводит к более слабому шифрованию при использовании с шифром, требующим размер блока больше 8 байт, например Rijndael.