Lightbend Akka 2.5.x до 2.5.16 допускает раскрытие и изменение сообщений из-за ошибки RNG. Генератор случайных чисел используется в Akka Re…
Lightbend Akka 2.5.x до 2.5.16 допускает раскрытие и изменение сообщений из-за ошибки RNG. Генератор случайных чисел используется в Akka Remoting для TLS (как классического, так и Artery Remoting). Akka позволяет настраивать пользовательские генераторы случайных чисел. По историческим причинам Akka включала генераторы случайных чисел AES128CounterSecureRNG и AES256CounterSecureRNG. В реализациях была ошибка, из-за которой сгенерированные числа повторялись всего через несколько байтов. Пользовательские реализации RNG не были настроены по умолчанию, но примеры в документации показывали (и, следовательно, неявно рекомендовали) использование пользовательских. Это может быть использовано злоумышленником для компрометации связи, если эти генераторы случайных чисел включены в конфигурации. Было бы возможно прослушивать, воспроизводить или изменять сообщения, отправленные с помощью Akka Remoting/Cluster.
Продукт использует генератор псевдослучайных чисел (PRNG) в контексте безопасности, однако алгоритм этого PRNG не является криптографически стойким.
https://cwe.mitre.org/data/definitions/338.html →Открыть в коллекции CWE →