PAGI::Middleware::Сессия::Стория::Кукиверсии через 0.01003 для Perl генерирует случайные байты небезопасно. PAGI::Middleware::Сессия::Сторн…
PAGI::Middleware::Сессия::Стория::Кукиверсии через 0.01003 для Perl генерирует случайные байты небезопасно. PAGI::Middleware::Сессия::Сторник::Куки пытается прочитать байты с устройства /dev/урандома непосредственно. Если это выйдет из строя (например, в системах без устройства, таких как Windows), то он издаст предупреждение, которое рекомендует пользователю установить Crypt::Uandom, а затем возвращать строку случайных байтов, генерируемых встроенной функцией ранда, которая непригодна для криптографических приложений. Эти модули не используют модуль Crypt::URandom, и его установка не решит проблему. Случайные байты используются для генерации вектора инициализации (IV) для шифрования файла cookie. Предсказуемый IV может облегчить злоумышленникам расшифровку и фальсификация данных сеанса, которые хранятся в файле cookie.
Продукт использует генератор псевдослучайных чисел (PRNG) в контексте безопасности, однако алгоритм этого PRNG не является криптографически стойким.
https://cwe.mitre.org/data/definitions/338.html →Открыть в коллекции CWE →