Vigil@nce - Symfony : prédictibilité d’aléa
janvier 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut prédire un aléa dans Symfony, afin de
contourner certaines fonctionnalités de sécurité.
– Produits concernés : Symfony.
– Gravité : 1/4.
– Date création : 14/01/2016.
– Date révision : 18/01/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Symfony utilise des nombres aléatoires pour
différentes fonctionnalités de sécurité.
Le fichier Symfony/Component/Security/Core/Util/SecureRandom.php
implémente un générateur aléatoire. Cependant, sur les
installations sans PHP 7 (random_bytes()) ni OpenSSL
(openssl_random_pseudo_bytes()), l’aléa est généré avec
uniqid() et mt_rand(), qui sont potentiellement prédictibles.
Un attaquant peut donc prédire un aléa dans Symfony, afin de
contourner certaines fonctionnalités de sécurité.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Symfony-predictibilite-d-alea-18730