Крипт::PBKDF2 версии до 0.261630 для Perl имеют слабый алгоритм по умолчанию и количество итераций. Алгоритм по умолчанию - HMAC-SHA1, кото…
Крипт::PBKDF2 версии до 0.261630 для Perl имеют слабый алгоритм по умолчанию и количество итераций. Алгоритм по умолчанию - HMAC-SHA1, который следует использовать только для устаревших систем. Эти версии по умолчанию используют 1000 итераций. В зависимости от выбранного алгоритма следует использовать от 220,000 до 1,400,000 итераций.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| libcrypt-pbkdf2-perl | Отслеживается | |
| libcrypt-pbkdf2-perl | Отслеживается |