| タイトル | GUIMARD (Xavier Guimard)のApache::Session::Generate::SHA256における複数の脆弱性 |
|---|---|
| 概要 | Perl用のApache::Session::Generate::SHA256のバージョン1.3.19未満では、安全でないセッションIDが生成されます。Apache::Session::Generate::SHA256はセッションIDを安全でない方法で生成していました。デフォルトのセッションIDジェネレーターは、組み込みのrand()関数、エポック時間、PIDのSHA-256ハッシュを返し、その結果がさらにハッシュ化されます。これらは予測可能でエントロピーの低いソースであるため、予測可能なセッションIDは攻撃者にシステムへのアクセスを許す可能性があります。バージョン1.3.19では、Crypt::URandom::urandomの呼び出しが失敗した場合でも警告なしに安全でないセッション生成方法にフォールバックしますが、Crypt::URandomはモジュールの必須要件であるため、この状況が発生する可能性は低いです。この問題はApache::Session::Generate::MD5の類似の問題に関連しています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月15日0:00 |
| 登録日 | 2026年5月20日13:21 |
| 最終更新日 | 2026年5月20日13:21 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| GUIMARD (Xavier Guimard) |
| Apache::Session::Generate::SHA256 1.3.19 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月20日] 掲載 |
2026年5月20日13:21 |
| 概要 | Apache::Session::Generate::MD5 versions through 1.94 for Perl create insecure session id. Apache::Session::Generate::MD5 generates session ids insecurely. The default session id generator returns a MD5 hash seeded with the built-in rand() function, the epoch time, and the PID. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand function is unsuitable for cryptographic usage. Predicable session ids could allow an attacker to gain access to systems. Note that the libapache-session-perl package in some Debian-based Linux distributions may be patched to use Crypt::URandom. |
|---|---|
| 概要 | Las versiones de Apache::Session::Generate::MD5 hasta la 1.94 para Perl crean un ID de sesión inseguro. Apache::Session::Generate::MD5 genera IDs de sesión de forma insegura. El generador de ID de sesión predeterminado devuelve un hash MD5 inicializado con la función rand() incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand incorporada no es adecuada para uso criptográfico. Los IDs de sesión predecibles podrían permitir a un atacante obtener acceso a los sistemas. |
| 公表日 | 2026年3月5日11:16 |
| 登録日 | 2026年4月15日11:20 |
| 最終更新日 | 2026年4月13日3:16 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:chorny:apache\:\:session\:\:generate\:\:md5:*:*:*:*:*:perl:*:* | 1.94 | ||||
| 概要 | Apache::Session::Generate::SHA256 versions before 1.3.19 for Perl create insecure session ids. Apache::Session::Generate::SHA256 generated session ids insecurely. The default session id generator returns a SHA-256 hash of the built-in rand() function, the epoch time, and the PID, that is hashed again. These are predictable, low-entropy sources. Predicable session ids could allow an attacker to gain access to systems. Note that version 1.3.19 has a fallback without warning to use insecure session generation method if the call to Crypt::URandom::urandom fails. However, this is unlikely as Crypt::URandom is a hardcoded requirement of the module. This issue is similar to CVE-2025-40931 for Apache::Session::Generate::MD5. |
|---|---|
| 公表日 | 2026年5月15日21:17 |
| 登録日 | 2026年5月17日4:12 |
| 最終更新日 | 2026年5月19日3:23 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:guimard:apache\:\:session\:\:generate\:\:sha256:*:*:*:*:*:perl:*:* | 1.3.19 | ||||