보안 정보 / 2020 / 보안 정보 -- DSA-4647-1 bluez

데비안 보안 권고

DSA-4647-1 bluez -- 보안 업데이트

보고일:

2020년 03월 26일

영향 받는 패키지:

bluez

위험성:

예

보안 데이터베이스 참조:

데비안 버그 추적 시스템: 버그 953770.
Mitre의 CVE 사전: CVE-2020-0556.

추가 정보:

BlueZ의 HID 및 HOGP 프로파일 구현에는 장치와 호스트 간 연결이 특별히 필요하지 않음을 보고했습니다. 악성 디바이스는 이 결함을 이용하여 대상 호스트에 연결하고 보안 없이 기존 HID 디바이스를 가장하거나 SDP 또는 GATT 서비스 검색을 수행하여 비결합 소스에서 HID 보고서를 입력 하위 시스템에 주입할 수 있습니다.

HID 프로파일에 새 구성 옵션(ClassicBondedOnly)이 도입되어 연결된 장치에서만 입력 연결이 제공되도록 합니다. 이 옵션 기본값은 false로 설정되어 장치 호환성을 최대화합니다.

옛안정 배포판(stretch)에서, 이 문제를 버전 5.43-2+deb9u2에서 수정했습니다.

안정 배포판(buster)에서, 이 문제를 버전 5.50-1.2~deb10u1에서 수정했습니다.

bluez 패키지를 업그레이드 하는 게 좋습니다.

bluez의 자세한 보안 상태는 보안 추적 페이지를 참조하십시오: https://security-tracker.debian.org/tracker/bluez