CVE-2024-57854
CriticalSummary
Wersje Net::NSCA::Client do 0.009002 dla Perla wykorzystują słaby generator liczb losowych. W wersji v0.003 zmieniono generator wektorów inicjalizacyjnych na Data::Rand::Obscure, który korzysta z wbudowanej funkcji rand() w Perlu, nieodpowiedniej do zastosowań kryptograficznych.
Risk Assessment
Słaby generator liczb losowych może prowadzić do przewidywalności kluczy kryptograficznych, co zwiększa ryzyko ataków na systemy zabezpieczające dane. Organizacje mogą być narażone na kradzież danych lub inne formy naruszeń bezpieczeństwa.
Recommendation
Zaleca się aktualizację do nowszej wersji Net::NSCA::Client, która korzysta z bezpieczniejszych metod generowania liczb losowych. Należy również przeanalizować i zaktualizować inne komponenty systemu, które mogą być podatne na podobne problemy.
Original NVD description (English source)
Net::NSCA::Client versions through 0.009002 for Perl uses a poor random number generator. Version v0.003 switched to use Data::Rand::Obscure instead of Crypt::Random for generation of a random initialisation vectors. Data::Rand::Obscure uses Perl's built-in rand() function, which is not suitable for cryptographic functions.

