JS Compute Runtime для платформы Compute@Edge от Fastly предоставляет среду, в которой выполняется JavaScript при использовании Compute@Edg…
JS Compute Runtime для платформы Compute@Edge от Fastly предоставляет среду, в которой выполняется JavaScript при использовании Compute@Edge JavaScript SDK. В версиях до 0.5.3 методы `Math.random` и `crypto.getRandomValues` не используют достаточно случайные значения. Начальное значение для заполнения PRNG (генератора псевдослучайных чисел) встроено в окончательный модуль WebAssembly, что делает последовательность случайных значений для этого конкретного модуля WebAssembly предсказуемой. Злоумышленник может использовать фиксированный seed для прогнозирования случайных чисел, генерируемых этими функциями, и обходить криптографические средства контроля безопасности, например, для раскрытия конфиденциальных данных, зашифрованных функциями, использующими эти генераторы. Проблема была исправлена в версии 0.5.3. Известных обходных путей не существует.
Продукт использует генератор псевдослучайных чисел (PRNG), однако некорректно управляет начальными значениями (seed).
https://cwe.mitre.org/data/definitions/335.html →Открыть в коллекции CWE →