Er is een kritieke kwetsbaarheid ontdekt in de Authen::DigestMD5 module voor Perl waarmee cnonce-waarden onveilig worden gegenereerd. Dit kan aanvallers in staat stellen om op een voorspelbare manier cnonce-waarden te manipuleren en gebruik te maken van zwakke cryptografische functies.
Door gebruik te maken van MD5-hash voor de PID, de epoch-tijd en een ingebouwde pseudo-willekeurige functie, biedt dit lek onvoldoende bescherming, wat de beveiliging van gegevens in gevaar brengt.
Overzicht
De kwetsbaarheid, aangeduid als CVE-2025-40919, raakt versies van de Authen::DigestMD5 module van 0.01 tot en met 0.04. Deze cnonce-waarden missen de vereiste 64 bits entropie aanbevolen door RFC 2831, waardoor de kans op cryptografische aanvallen stijgt.
Technische Impact
- De kwetsbaarheid is gecategoriseerd onder CWE-340 – Generation of Predictable Numbers or Identifiers.
- Ook valt deze onder CWE-338 – Use of Cryptographically Weak Pseudo-Random Number Generator.
Aanbevelingen
- Zorg ervoor dat u de module bijwerkt naar een versie van Authen::DigestMD5 hoger dan 0.04 zodra deze beschikbaar is.
- Controleer uw systemen op zwakke cnonce-waarden.
