Da muss ich schon raten, weil ich nicht weiß, wie der Software-Stack auf dem Server aussieht. Laut der von Dir rausgekramten Stellen handelt es sich ja primär um eine Warnung von Crypt::CBC, die erst im April 2021 eingebaut wurde. Session::Storage::Secure ist eine im Webserver-Umfeld verwendete Komponente, die dieses Modul benutzt. Die ist aber selber noch richtig neu, es gibt noch einige andere Nutzer.

Der Sinn, die Meldung zu unterdrücken, liegt darin, dass Du Deine gespeicherten Session-Daten nur mit der Version lesen kannst, mit der sie auch geschrieben wurden: Die Umstellung auf pbkdf2 bedeutet, dass alle Session-Daten weg sind. Das kann man aber sicher mal einplanen.

Ich vermute, dass Du Crypt::CBC gar nicht selbst verwendest. Also musst Du herausfinden, welcher Modul in deinem Software-Stack Crypt::CBC verwendet und ob man den durch eine Konfiguration oder einen Upgrade dazu bringen kann, pbkdf2 zu nutzen: wie gesagt, das ist alles recht neu. Session::Storage::Secure in der aktuellen (und einzig veröffentlichten) Version nutzt bereits das neue Verfahren!

Dass die Warnung im BEGIN-Block rauskommt, hängt möglicherweise damit zusammen, dass der Block am WARN-Handler rumbastelt, und durch den geht ja auch die Warnung von Crypt::CBC.