Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4647-1 bluez

Debians sikkerhedsbulletin

DSA-4647-1 bluez -- sikkerhedsopdatering

Rapporteret den:

26. mar 2020

Berørte pakker:

bluez

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 953770.
I Mitres CVE-ordbog: CVE-2020-0556.

Yderligere oplysninger:

Der blev rapporteret om at BlueZ's HID- og HOGP-profilimplementeringer ikke specifikt krævede bonding mellem enheden og værten. Ondsindede enheder kunne drage nytte af fejlen til at forbinde sig til en målvært og udgive sig for at være en eksisterende HID-enhed, uden sikkerhed, eller at forårsage at en SDP- eller GATT-tjenesteopdagelse fandt sted, hvilket gjorde det muligt at indsprøjte HID-rapporter i input-undersystemet fra en ikke-bond'ede kilder.

Vedrørende HID-profilen er der indført en ny opsætningsvalgmulighed (ClassicBondedOnly), for at sikre at inddataforbindelser kun kan komme fra bond'ede enheders forbindelser. Valgmuligheden er som standard sat til false af hensyn til maksimal enhedskompabilitet.

I den gamle stabile distribution (stretch), er dette problem rettet i version 5.43-2+deb9u2.

I den stabile distribution (buster), er dette problem rettet i version 5.50-1.2~deb10u1.

Vi anbefaler at du opgraderer dine bluez-pakker.

For detaljeret sikkerhedsstatus vedrørende bluez, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/bluez