Vigil@nce - Zend Framework : faible entropie
avril 2016 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut potentiellement prédire les aléas utilisés
par Zend Framework, afin de contourner des mesures de sécurité.
Produits concernés : Zend Framework.
Gravité : 1/4.
Date création : 14/04/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Zend Framework utilise un générateur aléatoire dans
les méthodes suivantes :
- Zend_Ldap_Attribute::createPassword
- Zend_Form_Element_Hash::_generateHash
- Zend_Gdata_HttpClient::filterHttpRequest
- Zend_Filter_Encrypt_Mcrypt::_srand
- Zend_OpenId::randomBytes
Cependant, ces méthodes emploient rand() ou mt_rand(), qui ne
sont pas cryptographiquement sûres.
Un attaquant peut donc potentiellement prédire les aléas
utilisés par Zend Framework, afin de contourner des mesures de
sécurité.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Zend-Framework-faible-entropie-19383