Plattform
perl
Komponente
apache2-api
Behoben in
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
Die CVE-2026-5088-Schwachstelle in Apache::API::Password betrifft Versionen vor 0.5.3. Wenn die Module Crypt::URandom oder Bytes::Random::Secure nicht verfügbar sind, greift die Bibliothek auf die Perl-Funktion rand() zurück, um die Salts zu generieren, die beim Passwort-Hashing verwendet werden. Die Funktion rand() ist für kryptografische Zwecke ungeeignet, was bedeutet, dass die generierten Salts vorhersehbar sein können. Ein Angreifer, der Zugriff auf die gehashten Passwörter erhält, könnte diese Vorhersagbarkeit möglicherweise nutzen, um die Hashes zu knacken und die ursprünglichen Passwörter wiederherzustellen, wodurch die Sicherheit der Benutzerkonten gefährdet wird. Die Schwere dieser Schwachstelle hängt von der Kritikalität der durch die gehashten Passwörter geschützten Daten und der Wahrscheinlichkeit ab, dass ein Angreifer sie ausnutzt.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf den Code, der Apache::API::Password für das Passwort-Hashing verwendet. Ein Angreifer müsste die gehashten Passwörter erhalten und anschließend Brute-Force-Techniken oder Rainbow-Tabellen verwenden, um zu versuchen, die Hashes zu knacken. Die Effektivität dieses Angriffs hängt von der Komplexität des verwendeten Hashing-Algorithmus ab (was nicht die Schwachstelle selbst ist, sondern die Schwierigkeit beeinflusst, den Hash zu knacken) und von der Qualität der generierten Salt-Werte. Das Fehlen einer kryptografisch sicheren Zufallszahlengenerator macht die Salt-Werte vorhersehbarer und erleichtert so den Angriff.
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
Exploit-Status
EPSS
0.05% (14% Perzentil)
Die Lösung besteht darin, Apache::API::Password auf Version 0.5.3 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sichergestellt wird, dass kryptografisch sichere Zufallszahlengeneratoren (Crypt::URandom oder Bytes::Random::Secure) verwendet werden, um die Salts zu generieren. Wenn ein sofortiges Update nicht möglich ist, sollten Sie prüfen, ob Sie zu einer robusteren und weit verbreiteten Passwort-Hashing-Bibliothek migrieren können. Darüber hinaus ist es wichtig, Passwortrichtlinien zu überprüfen und die Implementierung einer Multi-Faktor-Authentifizierung (MFA) in Betracht zu ziehen, um das Risiko einer unbefugten Zugriff zu mindern, selbst wenn Passwörter kompromittiert werden.
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein 'Salt' ist ein zufälliger Wert, der dem Passwort vor dem Hashing hinzugefügt wird. Dies macht jedes gehashte Passwort einzigartig, selbst wenn zwei Benutzer dasselbe Passwort haben. Dies erschwert die Verwendung von vorgefertigten Rainbow-Tabellen, um Passwörter zu knacken.
Wenn Passwörter mit anfälligen Versionen von Apache::API::Password gehasht wurden, könnten die generierten Salts vorhersehbar sein. Dies erleichtert das Knacken der Hashes, garantiert jedoch keinen Erfolg.
Wenn Sie nicht sofort aktualisieren können, sollten Sie prüfen, ob Sie zu einer robusteren Passwort-Hashing-Bibliothek migrieren und die Implementierung einer Multi-Faktor-Authentifizierung (MFA) in Betracht ziehen können.
Es ist nicht unbedingt erforderlich, Passwörter nach dem Update zu ändern, aber es wird als Vorsichtsmaßnahme empfohlen, insbesondere wenn der Verdacht besteht, dass Passwörter kompromittiert worden sein könnten.
Sie können den Befehl cpan list Apache::API::Password verwenden, um die installierte Version zu überprüfen. Wenn sie vor 0.5.3 liegt, sind Sie anfällig.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.