Debians sikkerhedsbulletin
DSA-4951-1 bluez -- sikkerhedsopdatering
- Rapporteret den:
- 7. aug 2021
- Berørte pakker:
- bluez
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 989614.
I Mitres CVE-ordbog: CVE-2020-26558, CVE-2020-27153, CVE-2021-0129. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Bluez, Linux Bluetooth-protokolstakken.
- CVE-2020-26558 /
CVE-2021-0129
Man opdagede at Bluez ikke på korrekt vis kontrollerede rettigheder under pairinghandlingen, hvilket kunne gøre det muligt for en angriber at udgive sig for at være den enhed, som startede forbindelsen.
- CVE-2020-27153
Jay LV opdagede en dobbelt frigivelse-fejl i rutinen disconnect_cb() i gattool. En fjernangriber kunne drage nytte af fejlen under en tjenesteopdagelse til lammelsesangreb, eller potentielt til udførelse af vilkårlig kode.
I den stabile distribution (buster), er disse problemer rettet i version 5.50-1.2~deb10u2.
Vi anbefaler at du opgraderer dine bluez-pakker.
For detaljeret sikkerhedsstatus vedrørende bluez, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/bluez
- CVE-2020-26558 /
CVE-2021-0129