Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4647-1 bluez

Aviso de seguridad de Debian

DSA-4647-1 bluez -- actualización de seguridad

Fecha del informe:

26 de mar de 2020

Paquetes afectados:

bluez

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 953770.
En el diccionario CVE de Mitre: CVE-2020-0556.

Información adicional:

Se informó de que las implementaciones de los perfiles HID y HOGP de BlueZ no requieren específicamente que se vinculen el dispositivo y el anfitrión. Dispositivos maliciosos pueden aprovecharse de este defecto para conectarse a un anfitrión y suplantar a un dispositivo HID existente sin seguridad o para provocar que tenga lugar un descubrimiento de servicio SDP o GATT, lo que permitiría la inyección de informes HID en el subsistema de entrada desde un origen no vinculado.

Para el caso del perfil HID se ha añadido una nueva opción de configuración (ClassicBondedOnly) para asegurarse de que las conexiones entrantes procedan exclusivamente de dispositivos vinculados. La opción toma por omisión el valor false para maximizar la compatibilidad de los dispositivos.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 5.43-2+deb9u2.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 5.50-1.2~deb10u1.

Le recomendamos que actualice los paquetes de bluez.

Para información detallada sobre el estado de seguridad de bluez, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/bluez