一、 漏洞 CVE-2023-49092 基础信息
漏洞标题
RustCrypto/RSA可以通过时间侧通道进行 Marvin 攻击,因此 vulnerable to this attack。
来源:AIGC 神龙大模型
漏洞描述信息
RustCrypto/RSA 是一个纯Rust的RSA实现。由于非常数时间实现,私钥信息会通过在网络中可观测的 timing 信息中泄露。攻击者可能可以利用这些信息来恢复密钥。目前没有可用的修复。作为一种解决方案,避免在攻击者可观测 timing 信息的环境中使用RSA库,例如在未受攻击的计算机上进行本地使用。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过差异性导致的信息暴露
来源:AIGC 神龙大模型
漏洞标题
RustCrypto/RSA vulnerable to a Marvin Attack via key recovery through timing sidechannels
来源:美国国家漏洞数据库 NVD
漏洞描述信息
RustCrypto/RSA is a portable RSA implementation in pure Rust. Due to a non-constant-time implementation, information about the private key is leaked through timing information which is observable over the network. An attacker may be able to use that information to recover the key. There is currently no fix available. As a workaround, avoid using the RSA crate in settings where attackers are able to observe timing information, e.g. local use on a non-compromised computer.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
隐蔽时间通道
来源:美国国家漏洞数据库 NVD
漏洞标题
Rust 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Rust是美国Mozilla基金会的一款通用、编译型编程语言。 Rust RustCrypto RSA存在安全漏洞,该漏洞源于有关私钥的信息可通过网络观察到的计时信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-49092 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-49092 的情报信息