CWE-333 TRNG不充分信息熵的处理不恰当类漏洞列表 1

CWE-333 TRNG不充分信息熵的处理不恰当类弱点 1 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-333 属于熵处理不当漏洞，指真随机数生成器因熵源有限导致生成失败或阻塞。攻击者可利用此缺陷通过耗尽熵池引发拒绝服务，或迫使系统回退至弱伪随机算法以预测密钥。开发者应避免滥用 TRNG，仅在真正需要高安全性时调用，并实施熵池监控与降级机制，确保在熵不足时能安全处理而非崩溃或泄露信息。

MITRE CWE 官方描述

CWE：CWE-333 真随机数生成器（TRNG）中熵不足处理不当真随机数生成器（TRNG）通常具有有限的熵源，因此可能会失败或阻塞。真随机数的生成速率是有限的。重要的是，仅在安全需要时才使用它们。

常见影响 (1)

AvailabilityDoS: Crash, Exit, or Restart

A program may crash or block if it runs out of random numbers.

缓解措施 (1)

ImplementationRather than failing on a lack of random numbers, it is often preferable to wait for more numbers to be created.

代码示例 (1)

This code uses a TRNG to generate a unique session id for new connections to a server:

while (1){ if (haveNewConnection()){ if (hwRandom()){ int sessionID = hwRandom(); createNewConnection(sessionID); } } }

Bad · C

CVE ID	标题	CVSS	风险等级	Published
CVE-2025-62626	AMD CPU 安全漏洞 — AMD Ryzen™ 9000HX Series Processors	3.3	-	2025-11-21

CWE-333（TRNG不充分信息熵的处理不恰当）是常见的弱点类别，本平台收录该类弱点关联的 1 条 CVE 漏洞。

CWE-333 TRNG不充分信息熵的处理不恰当 类漏洞列表 1