प्लेटफ़ॉर्म
perl
घटक
apache2-api
में ठीक किया गया
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
Apache::API::Password में CVE-2026-5088 भेद्यता 0.5.3 से पहले के संस्करणों को प्रभावित करती है। जब Crypt::URandom या Bytes::Random::Secure मॉड्यूल उपलब्ध नहीं होते हैं, तो लाइब्रेरी पासवर्ड हैशिंग में उपयोग किए जाने वाले सॉल्ट उत्पन्न करने के लिए पर्ल के अंतर्निहित rand() फ़ंक्शन पर वापस आ जाती है। rand() फ़ंक्शन क्रिप्टोग्राफ़िक उद्देश्यों के लिए उपयुक्त नहीं है, जिसका अर्थ है कि उत्पन्न सॉल्ट अनुमानित हो सकते हैं। हैश किए गए पासवर्ड तक पहुंचने वाले एक हमलावर इस अनुमानितता का उपयोग हैश को क्रैक करने और मूल पासवर्ड को पुनर्प्राप्त करने के लिए कर सकता है, जिससे उपयोगकर्ता खातों की सुरक्षा से समझौता हो सकता है। इस भेद्यता की गंभीरता उन डेटा की महत्वपूर्णता पर निर्भर करती है जो हैश किए गए पासवर्ड द्वारा संरक्षित हैं और एक हमलावर द्वारा इसका फायदा उठाने की संभावना है।
इस भेद्यता का फायदा उठाने के लिए Apache::API::Password का उपयोग करके पासवर्ड को हैश करने वाले कोड तक पहुंच की आवश्यकता होती है। एक हमलावर को हैश किए गए पासवर्ड प्राप्त करने और फिर हैश को क्रैक करने का प्रयास करने के लिए ब्रूट-फोर्स तकनीकों या रेनबो टेबल का उपयोग करने की आवश्यकता होगी। इस हमले की प्रभावशीलता उपयोग किए गए हैशिंग एल्गोरिथ्म की जटिलता पर निर्भर करती है (जो स्वयं भेद्यता नहीं है, लेकिन हैश को क्रैक करने में कठिनाई को प्रभावित करती है) और उत्पन्न नमक मूल्यों की गुणवत्ता पर। क्रिप्टोग्राफ़िक रूप से सुरक्षित यादृच्छिक संख्या जनरेटर की कमी नमक मूल्यों को अधिक अनुमानित बनाती है, जिससे हमला आसान हो जाता है।
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
समाधान Apache::API::Password को संस्करण 0.5.3 या बाद के संस्करण में अपडेट करना है। यह संस्करण क्रिप्टोग्राफ़िक रूप से सुरक्षित यादृच्छिक संख्या जनरेटर (Crypt::URandom या Bytes::Random::Secure) का उपयोग करके सॉल्ट उत्पन्न करने को सुनिश्चित करके भेद्यता को ठीक करता है। यदि तत्काल अपडेट संभव नहीं है, तो अधिक मजबूत और व्यापक रूप से उपयोग किए जाने वाले पासवर्ड हैशिंग लाइब्रेरी में माइग्रेट करने पर विचार करें। इसके अतिरिक्त, पासवर्ड नीतियों की समीक्षा करना और अनधिकृत पहुंच के जोखिम को कम करने के लिए बहु-कारक प्रमाणीकरण (MFA) को लागू करने पर विचार करना महत्वपूर्ण है, भले ही पासवर्ड से समझौता किया गया हो।
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
“सॉल्ट” पासवर्ड को हैश करने से पहले पासवर्ड में जोड़ा गया एक यादृच्छिक मान है। यह प्रत्येक हैश किए गए पासवर्ड को अद्वितीय बनाता है, भले ही दो उपयोगकर्ताओं के पास एक ही पासवर्ड हो। यह प्रीकैलकुलेटेड रेनबो टेबल का उपयोग करके पासवर्ड को क्रैक करना अधिक कठिन बनाता है।
यदि Apache::API::Password के कमजोर संस्करणों के साथ पासवर्ड हैश किए गए हैं, तो उत्पन्न नमक अनुमानित हो सकते हैं। यह हैश को क्रैक करना आसान बनाता है, लेकिन सफलता की गारंटी नहीं देता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अधिक मजबूत पासवर्ड हैशिंग लाइब्रेरी में माइग्रेट करने पर विचार करें और बहु-कारक प्रमाणीकरण (MFA) को लागू करें।
अपडेट के बाद पासवर्ड बदलने की आवश्यकता नहीं है, लेकिन एक सावधानी के रूप में, खासकर यदि संदेह है कि पासवर्ड से समझौता किया जा सकता है, तो इसकी सिफारिश की जाती है।
आप कमांड cpan list Apache::API::Password का उपयोग करके स्थापित संस्करण की जांच कर सकते हैं। यदि यह 0.5.3 से पहले का है, तो आप कमजोर हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।