PHP mcrypt_create_iv不安全加密实现漏洞 CVE-2007-2727 CNNVD-200705-331 CNVD-2009-10340 CNNVD-200705-342

2.6 AV AC AU C I A
发布: 2007-05-16
修订: 2018-10-30

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP生成随机加密种子的算法上存在漏洞,远程攻击者可能利用此漏洞获取非授权访问。 PHP的mcrypt_create_iv()函数以未初始化的变量做为种子调用php_rand_r(),导致生成器反复生成相同的IV,具体取决于系统的栈结构。在某些情况下栈结构可能导致生成完全可预测的种子,因此也会生成可预测的IV,而非随机的IV会导致较弱的加密算法。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有58条受影响产品信息