製品・ソフトウェアに関する情報

JVN脆弱性詳細

CHORNYのApache::Session::Generate::ModUniqueIdにおける予測可能な数字や識別子の生成に関する脆弱性

Title	CHORNYのApache::Session::Generate::ModUniqueIdにおける予測可能な数字や識別子の生成に関する脆弱性
Summary	Apache::Session::Generate::ModUniqueId のバージョン 1.54 から 1.94 までの Perl セッション ID は安全ではありません。Apache::Session::Generate::ModUniqueId（バージョン 1.54 で追加）は、セッション ID に UNIQUE_ID 環境変数の値を使用します。UNIQUE_ID 変数は Apache の mod_unique_id プラグインによって設定され、要求ごとに一意の ID を生成します。この ID は IPv4 アドレス、プロセス ID、エポック時間、16 ビットカウンター、スレッドインデックスに基づいており、隠蔽されていません。サーバの IP アドレスは公開されていることが多く、利用できない場合でも過去に発行されたセッション ID から推測可能です。プロセス ID も過去のセッション ID から推測可能です。タイムスタンプは容易に推測でき（HTTP の Date レスポンスヘッダに漏れることもあります）。mod_unique_id の目的は要求に一意な ID を割り当ててイベントを異なるログ間で相関させることであり、この ID はセキュリティ目的には設計も適合もしていません。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 6, 2026, midnight
Registration Date	June 8, 2026, 12:27 p.m.
Last Update	June 8, 2026, 12:27 p.m.

CVSS3.0 : 緊急
Score	9.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Affected System

CHORNY

Apache::Session::Generate::ModUniqueId 1.54 から 1.94

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5081	https://www.cve.org/CVERecord?id=CVE-2026-5081
National Vulnerability Database (NVD)
2	CVE-2026-5081	https://nvd.nist.gov/vuln/detail/CVE-2026-5081

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-340	https://cwe.mitre.org/data/definitions/340.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - CVE-2026-5081: Apache::Session::Generate::ModUniqueId versions from 1.54 through 1.94 for Perl session ids are insecure	http://www.openwall.com/lists/oss-security/2026/05/06/6

その他

No	Name	URL
関連文書
1	Apache::Session::Generate::Random - use system randomness for generating session ids - metacpan.org	https://metacpan.org/pod/Apache::Session::Generate::Random
2	mod_unique_id - Apache HTTP サーババージョン 2.4	https://httpd.apache.org/docs/current/mod/mod_unique_id.html

Change Log

No	Changed Details	Date of change
1	[2026年06月08日] 掲載	June 8, 2026, 12:27 p.m.

NVD Vulnerability Information

CVE-2026-5081

Summary	Apache::Session::Generate::ModUniqueId versions from 1.54 through 1.94 for Perl session ids are insecure. Apache::Session::Generate::ModUniqueId (added in version 1.54) uses the value of the UNIQUE_ID environment variable for the session id. The UNIQUE_ID variable is set by the Apache mod_unique_id plugin, which generates unique ids for the request. The id is based on the IPv4 address, the process id, the epoch time, a 16-bit counter and a thread index, with no obfuscation. The server IP is often available to the public, and if not available, can be guessed from previous session ids being issued. The process ids may also be guessed from previous session ids. The timestamp is easily guessed (and leaked in the HTTP Date response header). The purpose of mod_unique_id is to assign a unique id to requests so that events can be correlated in different logs. The id is not designed, nor is it suitable for security purposes.
Publication Date	May 6, 2026, 10:16 p.m.
Registration Date	May 7, 2026, 4:09 a.m.
Last Update	May 7, 2026, 11:52 p.m.

Related information, measures and tools

No	URL	refsource
1	https://httpd.apache.org/docs/current/mod/mod_unique_id.html	9b29abf9-4ab0-4765-b253-1875cd9b441e
2	https://metacpan.org/pod/Apache::Session::Generate::Random	9b29abf9-4ab0-4765-b253-1875cd9b441e
3	http://www.openwall.com/lists/oss-security/2026/05/06/6	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-340	予測可能な数字や識別子の生成	https://cwe.mitre.org/data/definitions/340.html