CVE-2017-20240
ŚrednieCVSS 5.9Streszczenie
Wersje Crypt::PBKDF2 przed 0.261630 dla Perla są podatne na ataki czasowe. Użycie wbudowanego porównania eq w Perlu może prowadzić do ujawnienia klucza pochodnego poprzez analizę różnic w czasie wykonania.
Ocena ryzyka
Atakujący może wykorzystać różnice w czasie odpowiedzi do odgadnięcia klucza, co może prowadzić do kompromitacji danych. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji korzystających z tej biblioteki.
Rekomendacja
Zaleca się aktualizację do wersji Crypt::PBKDF2 0.261630 lub nowszej, aby zniwelować ryzyko ataków czasowych.
Oryginalny opis (angielski, źródło NVD)
Crypt::PBKDF2 versions before 0.261630 for Perl are vulnerable to timing attacks. These versions use Perl's built-in eq comparison. Discrepancies in timing could be used to guess the underlying derived-key.

