Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Zend Framework : faible entropie

avril 2016 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut potentiellement prédire les aléas utilisés
par Zend Framework, afin de contourner des mesures de sécurité.

Produits concernés : Zend Framework.

Gravité : 1/4.

Date création : 14/04/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Zend Framework utilise un générateur aléatoire dans
les méthodes suivantes :
- Zend_Ldap_Attribute::createPassword
- Zend_Form_Element_Hash::_generateHash
- Zend_Gdata_HttpClient::filterHttpRequest
- Zend_Filter_Encrypt_Mcrypt::_srand
- Zend_OpenId::randomBytes

Cependant, ces méthodes emploient rand() ou mt_rand(), qui ne
sont pas cryptographiquement sûres.

Un attaquant peut donc potentiellement prédire les aléas
utilisés par Zend Framework, afin de contourner des mesures de
sécurité.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Zend-Framework-faible-entropie-19383


Voir les articles précédents

    

Voir les articles suivants