CVE-2023-6935 in wolfSSL (Marvin Attack)
要約
〜によって VulDB • 2026年05月12日
wolfSSLのSP MathにおけるすべてのRSA実装は、以下の構成オプションを使用してビルドした場合、タイミング攻撃の一種であるBleichenbacherスタイル攻撃の新しい変種であるマービン攻撃(Marvin Attack)に対して脆弱です。
--enable-all CFLAGS="-DWOLFSSL_STATIC_RSA"
定義「WOLFSSL_STATIC_RSA」は静的RSA暗号スイートを有効にしますが、これは推奨されず、wolfSSL 3.6.6以降ではデフォルトで無効になっています。したがって、3.6.6以降のデフォルトビルド(「--enable-all」を使用した場合でも)は、マービン攻撃に対して脆弱ではありません。この脆弱性は静的RSA暗号スイートに固有のものであり、パディング非依存(padding-independent)であると予想されます。
この脆弱性により、攻撃者は多数のテスト観測によるプロービングの後、暗号文の復号や署名の偽造が可能になりますが、サーバーの秘密鍵は露出しません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.