Richard Kettlewell

**Nome do Software Vulnerável e Versões Afetadas** Crypt::DSA versões anteriores a 1.21 **Description** O software reutiliza o nonce em assinaturas, o que pode levar à recuperação da chave privada. A função `sign()` no módulo `Crypt::DSA::sign` armazena em cache o material do nonce por assinatura dentro do objeto Key e não o limpa. Consequentemente, a primeira chamada para `sign()` em um objeto Key seleciona um nonce, e todas as chamadas subsequentes para `sign()` nesse mesmo objeto o reutilizam, resultando em um valor "r" idêntico. Quaisquer chaves usadas para assinar mais de uma vez usando uma versão afetada são consideradas comprometidas. **Recommendations** Atualize para a versão 1.21 ou posterior.

**Name of the Vulnerable Software and Affected Versions** zlib version 1.1.4 **Description** The issue is related to a buffer overflow in the gzprintf function in zlib. This can occur when zlib is compiled without vsnprintf or when long inputs are truncated using vsnprintf. The exploitation of this issue may lead to a denial of service or possibly the execution of arbitrary code. It can also result in the violation of confidentiality, integrity, and availability of protected information. The exploitation can be carried out remotely. **Recommendations** For zlib version 1.1.4, consider updating to a newer version that addresses the buffer overflow issue in the gzprintf function. As a temporary workaround, consider restricting the use of the gzprintf function until a patch is available.