CVE-2026-41564

Name of the Vulnerable Software and Affected Versions CryptX versões anteriores a 0.088

Description O CryptX para Perl não reseed o estado do Gerador de Números Pseudo-Aleatórios (PRNG) do Crypt::PK após uma operação de fork. Os módulos Crypt::PK::RSA, Crypt::PK::DSA, Crypt::PK::DH, Crypt::PK::ECC, Crypt::PK::Ed25519 e Crypt::PK::X25519 semeiam um estado de PRNG por objeto em seus construtores e o reutilizam sem detecção de fork. Consequentemente, qualquer objeto Crypt::PK::* criado antes do fork() compartilha um estado de PRNG idêntico em todos os processos filhos. Isso pode levar a saídas idênticas para operações randomizadas, incluindo a geração de chaves. Especificamente, duas assinaturas ECDSA ou DSA de processos diferentes podem permitir a recuperação da chave privada de assinatura através da recuperação de chave por reutilização de nonce. Este problema afeta serviços de preforking, como o servidor web Starman, onde objetos carregados na inicialização são herdados pelos processos trabalhadores.

Recommendations Atualizar para a versão 0.088 ou posterior.