Уязвимость BDU:2022-01824

Идентификатор: BDU:2022-01824.

Наименование уязвимости: Уязвимость реализации функций mt_rand() и time() пакета pearweb библиотеки PHP классов PEAR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код.

Описание уязвимости: Уязвимость реализации функций mt_rand() и time() пакета pearweb библиотеки PHP классов PEAR связана с использованием недостаточно надежного алгоритма шифрования MD5. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем PEAR Group pearweb до 1.32 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.07.2021.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения:
https://github.com/pear/pearweb/commit/69f9531c2aca8866303b8b9efdd72365b6996f81
https://pear.php.net/package/pearweb/download

Организационные меры:
Поскольку функции rand() и mt_rand() основаны на генераторе псевдослучайных чисел, их не следует использовать для защиты конфиденциальных данных..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости:

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://blog.sonarsource.com/php-supply-chain-attack-on-pear
https://github.com/pear/pearweb/commit/09760456120f12488890d430ba183461d937b440
https://github.com/pear/pearweb/commit/69f9531c2aca8866303b8b9efdd72365b6996f81
https://pear.php.net/package/pearweb/download
https://github.com/pear/pearweb/commit/f3333c2bd8cbe01a7a64772a6160601bca21ad84
https://xakep.ru/2022/04/04/pear-php-bugs/