Nome do software vulnerável e versões afetadas:

Zend Framework 1 (versões afetadas não especificadas)

Descrição:

O problema está relacionado à entropia insuficiente nos métodos de geração de números aleatórios utilizados em várias partes do Zend Framework 1. Especificamente, os métodos Zend Ldap Attribute::createPassword, Zend Form Element Hash:: generateHash, Zend Gdata HttpClient::filterHttpRequest, Zend Filter Encrypt Mcrypt:: srand e Zend OpenId::randomBytes utilizam rand() ou mt rand(), que não são adequados para gerar valores criptograficamente seguros. Isso pode levar à divulgação de informações se um invasor conseguir forçar a geração de números aleatórios. Além disso, há um possível problema de segurança no uso da função openssl random pseudo bytes() em Zend Crypt Math::randBytes.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.