CVE-2023-6935 in wolfSSL (Marvin Attack)info

Zusammenfassung

von VulDB • 30.05.2026

Die gesamte RSA-Implementierung von wolfSSL SP Math ist anfällig für den Marvin-Angriff, eine neue Variante eines Timing-Angriffs im Bleichenbacher-Stil, wenn sie mit den folgenden Konfigurationsoptionen erstellt wird:

--enable-all CFLAGS="-DWOLFSSL_STATIC_RSA"

Das Define „WOLFSSL_STATIC_RSA“ aktiviert statische RSA-Cipher-Suites, was nicht empfohlen wird und seit wolfSSL 3.6.6 standardmäßig deaktiviert ist. Daher ist die Standardkompilierung ab Version 3.6.6, selbst mit „--enable-all“, nicht anfällig für den Marvin-Angriff. Die Schwachstelle ist spezifisch für statische RSA-Cipher-Suites und wird als padding-unabhängig erwartet.

Die Schwachstelle ermöglicht es einem Angreifer, Chiffretexte zu entschlüsseln und Signaturen zu fälschen, nachdem er mit einer großen Anzahl von Testbeobachtungen sondiert hat. Der private Schlüssel des Servers wird jedoch nicht offengelegt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

wolfSSL Inc.

Reservieren

18.12.2023

Veröffentlichung

10.02.2024

Moderieren

akzeptiert

Eintrag

VDB-253351

CPE

bereit

EPSS

0.00539

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!