GHSA-chg9-3c3p-ch23

Опубликовано: 13 мая 2022

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Lemur uses static IV per key

Lemur 0.1.4 does not use sufficient entropy in its IV when encrypting AES in CBC mode.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2015-7764
https://github.com/Netflix/lemur/issues/117
https://github.com/kvesteri/sqlalchemy-utils/issues/166
https://github.com/Netflix/lemur/commit/394e18f76e5eb534d95160945ebc231ec3b4c794
https://github.com/pypa/advisory-database/tree/main/vulns/lemur/PYSEC-2017-50.yaml
http://www.openwall.com/lists/oss-security/2015/10/20/3

Пакеты

Наименование

lemur

pip

Затронутые версииВерсия исправления

< 0.1.5

0.1.5

EPSS

Процентиль: 57%

0.00345

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2015-7764

Дефекты

CWE-331

Связанные уязвимости

CVE-2015-7764

CVSS3: 7.5

nvd

больше 8 лет назад

Lemur 0.1.4 does not use sufficient entropy in its IV when encrypting AES in CBC mode.

CVE-2015-7764

CVSS3: 7.5

debian

больше 8 лет назад

Lemur 0.1.4 does not use sufficient entropy in its IV when encrypting ...

EPSS

Процентиль: 57%

0.00345

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2015-7764

Дефекты

CWE-331