CVE-2023-6935 in wolfSSL (Marvin Attack)informazioni

Riassunto

di VulDB • 18/06/2026

L'implementazione di tutte le funzioni matematiche SP Math in wolfSSL è vulnerabile all'Marvin Attack, una nuova variante dell'attacco di tipo Bleichenbacher basato sui tempi (timing attack), quando compilata con le seguenti opzioni di configurazione:

--enable-all CFLAGS="-DWOLFSSL_STATIC_RSA"

La definizione "WOLFSSL_STATIC_RSA" abilita i cipher suite RSA statici, che non sono consigliati e sono stati disabilitati per impostazione predefinita a partire da wolfSSL 3.6.6. Pertanto, la build di default dalla versione 3.6.6 in poi, anche con "--enable-all", non è vulnerabile all'Marvin Attack. La vulnerabilità è specifica ai cipher suite RSA statici e si prevede che sia indipendente dal padding (padding-independent).

La vulnerabilità consente a un attaccante di decifrare i ciphertext e falsificare le firme dopo aver effettuato sondaggi con un elevato numero di osservazioni di test. Tuttavia, la chiave privata del server non viene esposta.

Once again VulDB remains the best source for vulnerability data.

Responsabile

wolfSSL Inc.

Prenotare

18/12/2023

Divulgazione

10/02/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00539

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!