CVE-2026-41564 in CryptX
요약
\~에 의해 VulDB • 2026. 05. 11.
Perl용 CryptX 0.088 이전 버전은 fork() 호출 후 Crypt::PK PRNG(가용 난수 생성기) 상태를 재시딩(reseed)하지 않습니다.
Crypt::PK::RSA, Crypt::PK::DSA, Crypt::PK::DH, Crypt::PK::ECC, Crypt::PK::Ed25519 및 Crypt::PK::X25519 모듈은 생성자에서 객체별 PRNG 상태를 시딩하고, fork 감지 없이 이를 재사용합니다. `fork()` 이전에 생성된 Crypt::PK::* 객체는 모든 자식 프로세스와 바이트 단위로 동일한 PRNG 상태를 공유하며, 이들이 수행하는 임의성 기반 연산(키 생성 포함)은 동일한 출력을 생성할 수 있습니다. 서로 다른 프로세스에서 생성된 두 개의 ECDSA 또는 DSA 서명은 nonce 재사용을 통한 키 복구 공격을 통해 서명용 개인키를 복원하는 데 충분합니다.
이 취약점은 Starman 웹 서버와 같은 preforking 서비스에서 영향을 미치며, 여기서 시작 시 로드된 Crypt::PK::* 객체는 모든 워커 프로세스에 상속됩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.