Katalog CVE

CVE-2024-57854

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Net::NSCA::Client do 0.009002 dla Perla wykorzystują słaby generator liczb losowych. W wersji v0.003 zmieniono generator wektorów inicjalizacyjnych na Data::Rand::Obscure, który korzysta z wbudowanej funkcji rand() w Perlu, nieodpowiedniej do zastosowań kryptograficznych.

Ocena ryzyka

Słaby generator liczb losowych może prowadzić do przewidywalności kluczy kryptograficznych, co zwiększa ryzyko ataków na systemy zabezpieczające dane. Organizacje mogą być narażone na kradzież danych lub inne formy naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do nowszej wersji Net::NSCA::Client, która korzysta z bezpieczniejszych metod generowania liczb losowych. Należy również przeanalizować i zaktualizować inne komponenty systemu, które mogą być podatne na podobne problemy.

Oryginalny opis (angielski, źródło NVD)

Net::NSCA::Client versions through 0.009002 for Perl uses a poor random number generator. Version v0.003 switched to use Data::Rand::Obscure instead of Crypt::Random for generation of a random initialisation vectors. Data::Rand::Obscure uses Perl's built-in rand() function, which is not suitable for cryptographic functions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS