CVE-2023-6935 in wolfSSL (Marvin Attack)
Sumário
de VulDB • 30/05/2026
A implementação RSA completa do módulo SP Math do wolfSSL está vulnerável ao Ataque Marvin, uma nova variação do ataque de estilo Bleichenbacher baseado em tempo (timing attack), quando compilado com as seguintes opções de configuração:
--enable-all CFLAGS="-DWOLFSSL_STATIC_RSA"
A definição "WOLFSSL_STATIC_RSA" habilita suites de cifras RSA estáticas, o que não é recomendado e foi desativado por padrão desde o wolfSSL 3.6.6. Portanto, a compilação padrão desde a versão 3.6.6, mesmo com "--enable-all", não é vulnerável ao Ataque Marvin. A vulnerabilidade é específica às suites de cifras RSA estáticas e espera-se que seja independente do padding.
A vulnerabilidade permite que um atacante descriptografe textos cifrados e forje assinaturas após realizar sondagens com um grande número de observações de teste. No entanto, a chave privada do servidor não é exposta.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.