Összefoglaló
A Crypt-DSA Perl modul olyan biztonsági hibája vált ismertté, amelyet kihasználva a támadók megkerülhetnek bizonyos védelmi korlátozásokat.
Leírás
A biztonsági hibát az okozza, hogy a modul kriptográfiailag nem biztonságos eljárást használ véletlen számok generálására, ha a “/dev/random” nem áll rendelkezésre. Ez kriptográfiailag gyenge kulcsokat eredményez.
A sikeres kihasználás feltétele, hogy a “/dev/random” ne legyen elérhető (pl. Windows rendszeren történő futáskor).
A sérülékenység az 1.17. verzióban található, egyéb verziók is érintettek lehetnek.
Megoldás
Ne használjon “/dev/random” nélküli rendszereket!
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46275
Egyéb referencia: rt.cpan.org