Katalog CVE

CVE-2017-20240

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Crypt::PBKDF2 przed 0.261630 dla Perla są podatne na ataki czasowe. Użycie wbudowanego porównania eq w Perlu może prowadzić do ujawnienia klucza pochodnego poprzez analizę różnic w czasie wykonania.

Ocena ryzyka

Atakujący może wykorzystać różnice w czasie odpowiedzi do odgadnięcia klucza, co może prowadzić do kompromitacji danych. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji korzystających z tej biblioteki.

Rekomendacja

Zaleca się aktualizację do wersji Crypt::PBKDF2 0.261630 lub nowszej, aby zniwelować ryzyko ataków czasowych.

Oryginalny opis (angielski, źródło NVD)

Crypt::PBKDF2 versions before 0.261630 for Perl are vulnerable to timing attacks. These versions use Perl's built-in eq comparison. Discrepancies in timing could be used to guess the underlying derived-key.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS