• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение информации

Главная Специалистам База уязвимостей Разглашение информации
Уровень опасности
Средняя (2.6)
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:N/A:N)
Производитель ПО
PHP
Наименование ПО
PHP (4.0.0, 4.4.7, 5.0.0RC, 5.2.1)
Описание
Функция mcrypt_create_iv в ext/mcrypt/mcrypt.c в PHP вызывает php_rand_r с неинициализированной переменной seed, поэтому всегда генерируется один и тот же инициализирующий вектор (IV), что может облегчить злоумышленникам задачу расшифровки определенных данных, т.к. ключи шифрования в этом случае становятся предсказуемыми.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
Ссылки
http://www.fortheloot.com/public/mcrypt.patch
http://bugs.php.net/bug.php?id=40999
http://cvs.php.net/viewvc.cgi/php-src/ext/mcrypt/mcrypt.c?r1=1.91.2.3.2.9&r2=1.91.2.3.2.10
http://www.php.net/ChangeLog-5.php
BID (23984): http://www.securityfocus.com/bid/23984
DoS-атака (MDaemon) Отказ в обслуживании
Назад к списку уязвимостей

07.09.2016
База уязвимостей
28.09.2012
Note 1609552 - Несанкционированное изменение хранимого содержимого в CA-GTF-RCM База уязвимостей
20.06.2016
Разглашение информации, связанное с PDF База уязвимостей
26.08.2015
Уведомление безопасности usn-679-1 База уязвимостей
07.04.2015
Бюллетень безопасности ELSA-2012-1326 База уязвимостей
18.07.2015
Уведомление безопасности Note 1262016 База уязвимостей