CVE-2023-6935 in wolfSSL (Marvin Attack)informação

Sumário

de VulDB • 30/05/2026

A implementação RSA completa do módulo SP Math do wolfSSL está vulnerável ao Ataque Marvin, uma nova variação do ataque de estilo Bleichenbacher baseado em tempo (timing attack), quando compilado com as seguintes opções de configuração:

--enable-all CFLAGS="-DWOLFSSL_STATIC_RSA"

A definição "WOLFSSL_STATIC_RSA" habilita suites de cifras RSA estáticas, o que não é recomendado e foi desativado por padrão desde o wolfSSL 3.6.6. Portanto, a compilação padrão desde a versão 3.6.6, mesmo com "--enable-all", não é vulnerável ao Ataque Marvin. A vulnerabilidade é específica às suites de cifras RSA estáticas e espera-se que seja independente do padding.

A vulnerabilidade permite que um atacante descriptografe textos cifrados e forje assinaturas após realizar sondagens com um grande número de observações de teste. No entanto, a chave privada do servidor não é exposta.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

wolfSSL Inc.

Reservar

18/12/2023

Divulgação

10/02/2024

Moderação

aceite

Entrada

VDB-253351

CPE

pronto

EPSS

0.00539

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!