Server Seclists.org zveřejnil upozornění Weak RNG in PHP session ID generation leads to session hijacking. Podle této zprávy není generátor náhodných čísel (RNG, Random Number Generator) dostatečně „náhodný“, což v důsledku může vést k omezenému množství unikátních identifikátorů, založených na tomto generátoru, a tím ke zjednodušení „brute-force“ útoků např. proti sessions.

Podle článku jsou potřeba určité podmínky k tomu, aby tato bezpečnostní slabina mohla způsobit potíže. Doporučené metody jsou: Nepoužívat přímo výstup funkce uniqid() a nainstalovat Suhosin patch.

Zdroj: PHPArch