CVE-2026-41564 漏洞概述 CryptX 版本在 0.088 之前的 Perl 模块在 fork 后未重置 Crypt::PK PRNG 状态。Crypt::PK::RSA、Crypt::PK::DSA、Crypt::PK::DH、Crypt::PK::ECC、Crypt::PK::Ed25519 和 Crypt::PK::XS519 模块在它们的构造函数中播种了一个对象级 PRNG 状态,并在 fork 后重用该状态,而无需进行 fork 检测。在 fork 之前创建的 Crypt::PK:: 对象与每个子进程共享字节相同的 PRNG 状态,并且它们执行的任何随机化操作都可能产生相同的输出,包括密钥生成。两个 ECDSA 或 DSA 签名来自不同的进程足以通过非重用密钥恢复恢复签名私钥。这会影响预分叉服务,例如 Starman Web 服务器,其中在启动时加载的 Crypt::PK:: 对象在每个工作进程中被继承。 影响范围 CryptX 版本在 0.088 之前的 Perl 模块。 修复方案 升级到 CryptX 0.088 或更高版本。 参考链接 GitHub Advisory GitHub Commit Metacpan Release Notes Openwall Newsletter CWE CWE-338: Incorrect Usage of Seeds in Pseudo-Random Number Generator (PRNG) CWE-339: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) 产品状态 供应商: MIK 产品: CryptX 受影响版本: 0.088 之前 默认状态: 未受影响