Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Zend Framework : faible entropie

avril 2016 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut potentiellement prédire les aléas utilisés par Zend Framework, afin de contourner des mesures de sécurité.

Produits concernés : Zend Framework.

Gravité : 1/4.

Date création : 14/04/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Zend Framework utilise un générateur aléatoire dans les méthodes suivantes : - Zend_Ldap_Attribute ::createPassword - Zend_Form_Element_Hash ::_generateHash - Zend_Gdata_HttpClient ::filterHttpRequest - Zend_Filter_Encrypt_Mcrypt ::_srand - Zend_OpenId ::randomBytes

Cependant, ces méthodes emploient rand() ou mt_rand(), qui ne sont pas cryptographiquement sûres.

Un attaquant peut donc potentiellement prédire les aléas utilisés par Zend Framework, afin de contourner des mesures de sécurité.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...




Voir les articles précédents

    

Voir les articles suivants