PT-2026-55751 · Cpan · Crypt::Dsa
Publicado
2026-07-05
·
Atualizado
2026-07-05
·
CVE-2026-14570
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Crypt::DSA versões anteriores a 1.22
Descrição
O software extrai o nonce de assinatura DSA e a chave privada de um gerador aleatório enviesado. Especificamente, a função
makerandom() em Crypt::DSA::Util força o bit mais significativo de cada valor retornado para garantir um inteiro de N bits para a busca de primos. Isso resulta em valores não uniformes, pois o bit superior é fixo. Um invasor pode recuperar a chave privada usando um ataque de rede (lattice attack) ao coletar um número modesto de assinaturas e a chave pública.Recomendações
Atualize para a versão 1.22 ou posterior.
Gere novas chaves, pois quaisquer chaves usadas para assinar com versões afetadas devem ser consideradas comprometidas.
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crypt::Dsa