Версии Apache::API::Password до v0.5.2 для Perl могут генерировать небезопасные случайные значения для солей. Методы _make_salt и _make_salt_bcrypt попытаются загрузить Crypt::URandom, а затем Bytes::Random::Secure, чтобы сгенерировать случайные байты для соли. Если эти модули недоступны, он просто вернет 16 байт, сгенерированных встроенной функцией rand Perl.
Функция rand непригодна для криптографического использования. Эти соли используются для хеширования паролей.
Показать оригинальное описание (EN)
Apache::API::Password versions through v0.5.2 for Perl can generate insecure random values for salts. The _make_salt and _make_salt_bcrypt methods will attept to load Crypt::URandom and then Bytes::Random::Secure to generate random bytes for the salt. If those modules are unavailable, it will simply return 16 bytes generated with Perl's built-in rand function. The rand function is unsuitable for cryptographic use. These salts are used for password hashing.
Характеристики атаки
Последствия
Строка CVSS v3.1