„`html
Zusammenfassung
Die Perl-Bibliothek Crypt::SaltedHash in den Versionen bis 0.09 generiert kryptografisch unsichere Zufallswerte für Password-Salts. Das Modul nutzt die eingebaute rand()-Funktion, die für kryptografische Zwecke ungeeignet ist und zu vorhersehbaren Saltwerten führt. Dies ermöglicht es Angreifern, Rainbow-Table-Attacken durchzuführen und gehashte Passwörter effizienter zu knacken.
Betroffene Systeme
Betroffen sind alle Perl-Anwendungen, die Crypt::SaltedHash in Version 0.09 oder älter verwenden. Dies umfasst insbesondere:
- Legacy-Perl-Applikationen mit Password-Management
- Content-Management-Systeme mit Perl-Backend
- Authentifizierungsmechanismen basierend auf gehashten Passwörtern
- Verschiedene Linux-Distributionen mit älteren Perl-Paketen
Technische Details
Das Kernproblem liegt in der Verwendung von Perls rand()-Funktion statt kryptografisch sicheren Zufallsgeneratoren. Die rand()-Funktion ist nur für nicht-kryptografische Zwecke gedacht und basiert auf einem deterministischen Algorithmus. Ein Angreifer mit Kenntnis des Seeds kann alle generierten Saltwerte reproduzieren.
Folgende Angriffsszenarios entstehen: Mit vorhersehbaren Salts können effiziente Rainbow-Tables erstellt werden. Ein 10-stelliger vorhersehbarer Salt reduziert die Komplexität erheblich. Selbst schwache Passwörter werden schneller geknackt. Bei bekannter Perl-Version und Seed-Information wird Brute-Force-Attacken erheblich vereinfacht.
Empfohlene Massnahmen
Sofortmassnahmen: Keine offiziellen Patches verfügbar – Migration auf alternative Bibliotheken ist erforderlich. Nutzen Sie stattdessen Crypt::Argon2, Crypt::bcrypt oder Digest::Bcrypt. Alle User-Passwörter müssen mit sicheren Algorithmen neu gehashed werden.
Monitoring: Überprüfen Sie alle eingesetzten Perl-Module auf Crypt::SaltedHash mittels „cpan –show-distributions“. Protokollieren Sie alle gescheiterten Authentifizierungen und überwachen Sie auf ungewöhnliche Brute-Force-Aktivitäten.
Bewertung
Mit CVSS 9.1 (Critical) ist die Sicherheitslücke von höchster Priorität. Die Vorhersehbarkeit der Salts gefährdet direkt alle damit gehashten Passwörter. Immediate Action erforderlich für produktive Systeme.
„`