目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-338 使用具有密码学弱点缺陷的PRNG 类漏洞列表 75

CWE-338 使用具有密码学弱点缺陷的PRNG 类弱点 75 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-338 指在安全上下文中使用了非密码学强度的伪随机数生成器。此类漏洞因算法可预测性,易被攻击者通过逆向工程或统计推断还原随机数,从而破解密钥或会话令牌。开发者应严格避免在加密场景使用如 rand() 等弱算法,转而采用操作系统提供的密码学安全随机数生成器(如 /dev/urandom 或 CryptoAPI),以确保随机数的不可预测性和安全性。

MITRE CWE 官方描述
CWE:CWE-338 使用加密学上弱的伪随机数生成器(Pseudo-Random Number Generator, PRNG) 产品在一个安全上下文中使用了伪随机数生成器(PRNG),但该 PRNG 的算法并非加密学上强。 当非加密学的 PRNG 被用于加密学上下文时,它可能使加密学暴露于某些类型的攻击之下。通常,伪随机数生成器(PRNG)并非为加密学而设计。有时,对于使用随机数的算法而言,中等水平的随机性源就足够了,甚至是更可取的。弱的生成器通常占用更少的处理能力,并且/或者不使用系统中珍贵且有限的熵源(entropy sources)。虽然此类 PRNG 可能具有非常有用的特性,但这些相同的特性也可能被用来破坏加密学。
常见影响 (1)
Access ControlBypass Protection Mechanism
If a PRNG is used for authentication and authorization, such as a session ID or a seed for generating a cryptographic key, then an attacker may be able to easily guess the ID or cryptographic key and gain access to restricted functionality.
缓解措施 (1)
ImplementationUse functions or hardware which use a hardware-based random number generation for all crypto. This is the recommended solution. Use CyptGenRandom on Windows, or hw_rand() on Linux.
代码示例 (1)
Both of these examples use a statistical PRNG seeded with the current value of the system clock to generate a random number:
Random random = new Random(System.currentTimeMillis()); int accountID = random.nextInt();
Bad · Java
srand(time()); int randNum = rand();
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2022-23472 Passeo 安全特征问题漏洞 — Passeo 5.9 Medium2022-12-06
CVE-2022-35255 Node.js 安全特征问题漏洞 — Node 9.1 -2022-12-05
CVE-2022-41210 SAP Customer Data Cloud 安全特征问题漏洞 — SAP Customer Data Cloud (Gigya) 8.2 -2022-10-11
CVE-2022-20817 Cisco Unified IP Phones 安全特征问题漏洞 — Cisco IP Phones with Multiplatform Firmware 7.4 High2022-06-15
CVE-2022-29245 SSH.NET 安全特征问题漏洞 — SSH.NET 6.5 Medium2022-05-31
CVE-2021-43799 Zulip Server 安全特征问题漏洞 — zulip 8.6 High2022-01-25
CVE-2021-3990 showdoc 安全特征问题漏洞 — star7th/showdoc 5.3 -2021-12-01
CVE-2011-4574 PolarSsl 安全特征问题漏洞 — PolarSSL 9.8 -2021-10-27
CVE-2021-3047 Palo Alto Networks PAN-OS 安全特征问题漏洞 — PAN-OS 4.2 Medium2021-08-11
CVE-2021-3678 showdoc 安全特征问题漏洞 — star7th/showdoc 5.3 -2021-08-04
CVE-2021-34430 Eclipse TinyDTLS 加密问题漏洞 — Eclipse TinyDTLS 9.1 -2021-07-08
CVE-2021-3538 go.uuid 安全特征问题漏洞 — satori/go.uuid 9.8 -2021-06-02
CVE-2008-3280 OpenSSL 安全特征问题漏洞 — openid 3.7 -2021-05-21
CVE-2019-5440 Revive Adserver 安全特征问题漏洞 — Revive Adserver 9.8 -2019-05-28
CVE-2014-2362 OleumTech WIO DH2 Wireless Gateway和Sensor Wireless I/O Modules 安全漏洞 — WIO DH2 Wireless Gateway 5.9 -2014-07-24

CWE-338(使用具有密码学弱点缺陷的PRNG) 是常见的弱点类别,本平台收录该类弱点关联的 75 条 CVE 漏洞。