Информация по безопасности / 2020 / Информация о безопасности -- DSA-4647-1 bluez

Рекомендация Debian по безопасности

DSA-4647-1 bluez -- обновление безопасности

Дата сообщения:

26.03.2020

Затронутые пакеты:

bluez

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 953770.
В каталоге Mitre CVE: CVE-2020-0556.

Более подробная информация:

Было сообщено, что реализация профилей HID и HOGP в BlueZ не требует специальной привязки между устройством и узлом. Вредоносные устройства могут использовать эту уязвимость для подключения к целевому узлу и выдачи себя за существующее HID-устройство без проверки безопасности или для вызова обнаружения службы SDP или GATT, что может позволить ввести HID-отчёты в подсистему ввода из несвязанных источников.

Для профиля HID добавлена новая опция настройки (ClassicBondedOnly), которая гарантирует, что входящие соединения принимаются только от связанных устройств. Для максимальной совместимости данная опция по умолчанию имеет значение false.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 5.43-2+deb9u2.

В стабильном выпуске (buster) эта проблема была исправлена в версии 5.50-1.2~deb10u1.

Рекомендуется обновить пакеты bluez.

С подробным статусом поддержки безопасности bluez можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/bluez