CRITICAL🇬🇧 English

CVE-2025-40931

Przewidywalne identyfikatory sesji w Apache::Session::Generate::MD5 (Perl)

CVSS 9.1v3.1pub. 2026-03-05upd. 2026-04-12

Moduł Apache::Session::Generate::MD5 w wersjach do 1.94 dla Perl generuje identyfikatory sesji w sposób kryptograficznie niezabezpieczony. Atakujący może przewidzieć lub odgadnąć prawidłowy identyfikator sesji i uzyskać nieautoryzowany dostęp do systemu.

Pokaż oryginał (EN)

Apache::Session::Generate::MD5 versions through 1.94 for Perl create insecure session id. Apache::Session::Generate::MD5 generates session ids insecurely. The default session id generator returns a MD5 hash seeded with the built-in rand() function, the epoch time, and the PID. The PID will come from a small set of numbers, and the epoch time may be guessed, if it is not leaked from the HTTP Date header. The built-in rand function is unsuitable for cryptographic usage. Predicable session ids could allow an attacker to gain access to systems. Note that the libapache-session-perl package in some Debian-based Linux distributions may be patched to use Crypt::URandom.

🤖 Analiza AI
Jak działa

Moduł generuje identyfikator sesji jako hash MD5 obliczony na podstawie trzech przewidywalnych wartości: wyniku funkcji rand() (nieodpowiedniej do zastosowań kryptograficznych), czasu epoki (epoch time) oraz identyfikatora procesu (PID). PID pochodzi z ograniczonego zakresu liczb, czas epoki może zostać odczytany z nagłówka HTTP Date lub odgadnięty, a wbudowana funkcja rand() nie zapewnia wymaganej losowości kryptograficznej. Połączenie tych słabości (CWE-338: użycie kryptograficznie słabego generatora liczb losowych, CWE-340: generowanie przewidywalnych liczb) sprawia, że przestrzeń możliwych identyfikatorów sesji jest wystarczająco mała, aby przeprowadzić atak siłowy lub analityczny.

Skutki

Atakujący zdalny, bez uwierzytelnienia, może przewidzieć prawidłowy identyfikator sesji innego użytkownika i przejąć jego sesję, uzyskując nieautoryzowany dostęp do chronionych zasobów aplikacji. Skutkuje to naruszeniem poufności i integralności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami lub przejść na moduł Apache::Session::Generate::Random wskazany przez producenta jako bezpieczna alternatywa. Użytkownicy dystrybucji Debian-based powinni zweryfikować, czy zainstalowany pakiet libapache-session-perl zawiera łatkę z Crypt::URandom. Zalecana jest również weryfikacja konfiguracji aplikacji pod kątem stosowanego generatora sesji.

Kogo dotyczy

Apache::Session::Generate::MD5 we wszystkich wersjach do 1.94 włącznie dla Perl. Dystrybucje Debian-based (pakiet libapache-session-perl) mogą posiadać łatkę korzystającą z Crypt::URandom — należy zweryfikować wersję lokalną.

Uwagi

Opis producenta wskazuje na zgłoszenie błędu Debian #930659 jako źródło pierwotne. Moduł Apache::Session::Generate::Random jest rekomendowaną przez producenta bezpieczną alternatywą dla podatnego generatora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Chorny Apache\

    APP
    Chorny
    \
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2013-10075CRITICAL9.1PL ✓ten sam produkt

Apache::Session dla Perl — nieprawidłowe odtwarzanie usuniętych sesji

CVE-2026-5081CRITICAL9.1PL ✓ten sam produkt

Apache::Session::Generate::ModUniqueId — przewidywalne identyfikatory sesji

CVE-2025-40931 — Przewidywalne identyfikatory sesji w Apache::Session::Generate::MD5 (Perl) — CRITICAL 9.1 | CVEbaza.pl