HTTP::Session версий до 0.53 для Perl по умолчанию использует небезопасно сгенерированные идентификаторы сеансов.
HTTP::Session по умолчанию использует HTTP::Session::ID::SHA1 для генерации идентификаторов сеансов с использованием хэша SHA-1, заполненного встроенной функцией rand, времени эпохи с высоким разрешением и PID. PID будет получен из небольшого набора чисел, и время эпохи можно будет угадать, если оно не утекло из заголовка HTTP Date. Встроенная функция rand непригодна для криптографического использования.
В состав дистрибутива входит HTTP::session::ID::MD5, который содержит аналогичный недостаток, но вместо этого использует хэш MD5.
Показать оригинальное описание (EN)
HTTP::Session versions through 0.53 for Perl defaults to using insecurely generated session ids. HTTP::Session defaults to using HTTP::Session::ID::SHA1 to generate session ids using a SHA-1 hash seeded with the built-in rand function, the high resolution epoch time, and the PID. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand function is unsuitable for cryptographic usage. The distribution includes HTTP::session::ID::MD5 which contains a similar flaw, but uses the MD5 hash instead.
Характеристики атаки
Последствия
Строка CVSS v3.1
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ktat Http\
cpe:2.3:a:ktat:http\:\:session:*:*:*:*:*:perl:*:*
|
— |
<= 0.53
|