• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Обход механизма защиты

Главная Специалистам База уязвимостей Обход механизма защиты

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
PHP
Наименование ПО
PHP (4.4.8, 5.0.0RC, 5.2.5) php (Unknown)
Описание
Макрос GENERATE_SEED в PHP при выполнении операции умножения использует значения, которые могут привести к тому, что в некоторых редких случаях начальным значением для генерации псевдослучайных чисел будет 0, что позволяет злоумышленникам предсказать следующие значения, которые выдаст функция rand или mt_rand, и, возможно, обойти механизмы защиты, которые основаны на том, что злоумышленник не знает начальное число при генерации псевдослучайных чисел.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
Ссылки
XF (php-generateseed-weak-security(42226)): http://xforce.iss.net/xforce/xfdb/42226
XF (php-generateseed-security-bypass(42284)): http://xforce.iss.net/xforce/xfdb/42284