| Title | GUIMARD (Xavier Guimard)のApache::Session::Generate::SHA256における複数の脆弱性 |
|---|---|
| Summary | Perl用のApache::Session::Generate::SHA256のバージョン1.3.19未満では、安全でないセッションIDが生成されます。Apache::Session::Generate::SHA256はセッションIDを安全でない方法で生成していました。デフォルトのセッションIDジェネレーターは、組み込みのrand()関数、エポック時間、PIDのSHA-256ハッシュを返し、その結果がさらにハッシュ化されます。これらは予測可能でエントロピーの低いソースであるため、予測可能なセッションIDは攻撃者にシステムへのアクセスを許す可能性があります。バージョン1.3.19では、Crypt::URandom::urandomの呼び出しが失敗した場合でも警告なしに安全でないセッション生成方法にフォールバックしますが、Crypt::URandomはモジュールの必須要件であるため、この状況が発生する可能性は低いです。この問題はApache::Session::Generate::MD5の類似の問題に関連しています。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 15, 2026, midnight |
| Registration Date | May 20, 2026, 1:21 p.m. |
| Last Update | May 20, 2026, 1:21 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| GUIMARD (Xavier Guimard) |
| Apache::Session::Generate::SHA256 1.3.19 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月20日] 掲載 |
May 20, 2026, 1:21 p.m. |
| Summary | Apache::Session::Generate::MD5 versions through 1.94 for Perl create insecure session id. Apache::Session::Generate::MD5 generates session ids insecurely. The default session id generator returns a MD5 hash seeded with the built-in rand() function, the epoch time, and the PID. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand function is unsuitable for cryptographic usage. Predicable session ids could allow an attacker to gain access to systems. Note that the libapache-session-perl package in some Debian-based Linux distributions may be patched to use Crypt::URandom. |
|---|---|
| Summary | Las versiones de Apache::Session::Generate::MD5 hasta la 1.94 para Perl crean un ID de sesión inseguro. Apache::Session::Generate::MD5 genera IDs de sesión de forma insegura. El generador de ID de sesión predeterminado devuelve un hash MD5 inicializado con la función rand() incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand incorporada no es adecuada para uso criptográfico. Los IDs de sesión predecibles podrían permitir a un atacante obtener acceso a los sistemas. |
| Publication Date | March 5, 2026, 11:16 a.m. |
| Registration Date | April 15, 2026, 11:20 a.m. |
| Last Update | April 13, 2026, 3:16 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:chorny:apache\:\:session\:\:generate\:\:md5:*:*:*:*:*:perl:*:* | 1.94 | ||||
| Summary | Apache::Session::Generate::SHA256 versions before 1.3.19 for Perl create insecure session ids. Apache::Session::Generate::SHA256 generated session ids insecurely. The default session id generator returns a SHA-256 hash of the built-in rand() function, the epoch time, and the PID, that is hashed again. These are predictable, low-entropy sources. Predicable session ids could allow an attacker to gain access to systems. Note that version 1.3.19 has a fallback without warning to use insecure session generation method if the call to Crypt::URandom::urandom fails. However, this is unlikely as Crypt::URandom is a hardcoded requirement of the module. This issue is similar to CVE-2025-40931 for Apache::Session::Generate::MD5. |
|---|---|
| Publication Date | May 15, 2026, 9:17 p.m. |
| Registration Date | May 17, 2026, 4:12 a.m. |
| Last Update | May 19, 2026, 3:23 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:guimard:apache\:\:session\:\:generate\:\:sha256:*:*:*:*:*:perl:*:* | 1.3.19 | ||||