Пакет Crypt::Random Perl версий 1.05–1.55 может использовать функцию rand(), которая не является криптостойкой, для криптографических функций.
Если поставщик не указан и служба /dev/urandom или демона сбора энтропии (egd) недоступна, Crypt::Random по умолчанию будет использовать небезопасный поставщик Crypt::Random::rand.
В частности, версии Perl для Windows по умолчанию сталкиваются с этой проблемой.
Показать оригинальное описание (EN)
Crypt::Random Perl package 1.05 through 1.55 may use rand() function, which is not cryptographically strong, for cryptographic functions. If the Provider is not specified and /dev/urandom or an Entropy Gathering Daemon (egd) service is not available Crypt::Random will default to use the insecure Crypt::Random::rand provider. In particular, Windows versions of perl will encounter this issue by default.
Характеристики атаки
Последствия
Строка CVSS v3.1
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Timlegge Crypt\
cpe:2.3:a:timlegge:crypt\:\:random:*:*:*:*:*:perl:*:*
|
1.05
|
<= 1.55
|