关键信息 漏洞ID ID: NFLX-2023-001 标题 Title: Insecure random generation in Lemur 发布日期 Release Date: 2023-02-28 严重性 Severity: Low 漏洞概要 Credit: Kjsman Jinseo Kim 影响范围 Impacted Items: - Flask session secret - Lemur token secret - Lemur database encryption key - OAuth2 state token secret key - Randomly generated passphrases for openssl keystores - Initial password for LDAP users - Initial password for Ping/OAuth2 users - OAuth2 nonce - Verisign certificate enrollment challenges 描述 Lemur 使用了不安全的随机生成方法生成配置示例文件及其一些工具中使用的配置项。这些配置项包括: - Flask session secret ( ) - Lemur token secret ( ) - Lemur database encryption key ( ) - OAuth2 state token secret key ( ) - 随机生成的openssl keystores密码 - LDAP用户的初始密码 - Ping/OAuth2用户的初始密码 - OAuth2 nonce - Verisign certificate enrollment challenges 工作原理和修复 修复补丁已经包含在v1.3.2版本中。