プラットフォーム
perl
コンポーネント
apache2-api
修正版
0.5.3
CVE-2026-5088 is a vulnerability affecting versions 0.0.0 through 0.5.2 of the Apache::API::Password Perl module. This flaw allows the module to generate insecure random values for password salts when Crypt::URandom or Bytes::Random::Secure are unavailable, falling back to the insecure rand function. This can weaken password hashing and potentially compromise user credentials. Upgrade to version 0.5.3 to mitigate this risk.
Apache::API::Passwordのバージョン0.5.3より前のCVE-2026-5088脆弱性は、Crypt::URandomまたはBytes::Random::Secureモジュールが利用できない場合に、パスワードハッシュに使用されるソルト(salt)の生成にPerlの組み込み関数rand()を使用することによって発生します。rand()関数は暗号化目的には適しておらず、生成されたソルトが予測可能になる可能性があります。ハッシュ化されたパスワードにアクセスした攻撃者は、この予測可能性を利用してハッシュをクラックし、元のパスワードを復元し、ユーザーアカウントを侵害する可能性があります。この脆弱性の深刻度は、ハッシュ化されたパスワードで保護されているデータの重要度と、攻撃者がこの脆弱性を悪用する可能性に依存します。
この脆弱性の悪用には、Apache::API::Passwordを使用してパスワードをハッシュ化するコードへのアクセスが必要です。攻撃者はハッシュ化されたパスワードを入手し、その後、ブルートフォース技術またはレインボーテーブルを使用してハッシュをクラックしようとします。この攻撃の有効性は、使用されるハッシュアルゴリズムの複雑さ(これは脆弱性自体ではありませんが、ハッシュをクラックする難易度に影響します)と、生成されたソルト値の品質に依存します。暗号化的に安全な乱数生成器がないため、ソルト値がより予測可能になり、攻撃が容易になります。
Applications and systems that utilize the Apache::API::Password Perl module for password hashing, particularly those relying on older versions (0.0.0–0.5.2), are at risk. This includes web applications, scripting environments, and any system where user authentication is performed using this module.
• perl: Check installed version of Apache::API::Password using perl -V. If the version is less than 0.5.3, the system is vulnerable.
• perl: Verify the presence of Crypt::URandom and Bytes::Random::Secure modules using perl -MCrypt::URandom -e 'print @INC' and perl -MBytes::Random::Secure -e 'print @INC'. If either module is missing, the system may be vulnerable.
• perl: Inspect the code where Apache::API::Password is used to confirm that secure random number generators are being used for salt generation.
disclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
解決策は、Apache::API::Passwordをバージョン0.5.3以降に更新することです。このバージョンは、Crypt::URandomまたはBytes::Random::Secureなどの暗号化的に安全な乱数生成器を使用してソルトを生成することを保証することで、脆弱性を修正します。直ちに更新できない場合は、より堅牢で広く使用されているパスワードハッシュライブラリへの移行を検討してください。さらに、パスワードポリシーを見直し、パスワードが侵害された場合でも不正アクセスを軽減するために、多要素認証(MFA)の実装を検討することが重要です。
Actualice a la versión 0.5.3 o superior de Apache::API::Password. Esta versión corrige la generación de números aleatorios inseguros para las sales de contraseñas, utilizando métodos criptográficamente seguros en lugar de la función `rand` de Perl.
脆弱性分析と重要アラートをメールでお届けします。
「ソルト」とは、パスワードをハッシュ化する前にパスワードに追加されるランダムな値です。これにより、2人のユーザーが同じパスワードを使用している場合でも、各ハッシュ化されたパスワードが一意になります。これにより、パスワードをクラックするために事前に計算されたレインボーテーブルを使用することが困難になります。
Apache::API::Passwordの脆弱なバージョンでパスワードがハッシュ化された場合、生成されたソルトが予測可能になる可能性があります。これにより、ハッシュをクラックするのが容易になりますが、成功を保証するものではありません。
すぐに更新できない場合は、より堅牢なパスワードハッシュライブラリへの移行を検討し、多要素認証(MFA)の実装を検討してください。
更新後、パスワードを変更する必要はありませんが、パスワードが侵害された可能性がある場合に備えて、予防措置として推奨されます。
コマンドcpan list Apache::API::Passwordを使用して、インストールされているバージョンを確認できます。0.5.3より前のバージョンを使用している場合は、脆弱です。