Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4951-1 bluez

Bulletin d'alerte Debian

DSA-4951-1 bluez -- Mise à jour de sécurité

Date du rapport :

7 août 2021

Paquets concernés :

bluez

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 989614.
Dans le dictionnaire CVE du Mitre : CVE-2020-26558, CVE-2020-27153, CVE-2021-0129.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Bluez, la pile du protocole Bluetooth de Linux.

• CVE-2020-26558

  / CVE-2021-0129

  Bluez ne vérifie pas correctement les permissions durant l'opération d'appairage, ce qui pourrait permettre à un attaquant d'usurper l'identité du périphérique effectuant l'initialisation.

• CVE-2020-27153

  Jay LV a découvert un défaut de libération de zone de mémoire dans la routine disconnect_cb() de gattool. Un attaquant distant peut tirer avantage de ce défaut durant la découverte de service pour un déni de service, ou, éventuellement, l'exécution de code arbitraire.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 5.50-1.2~deb10u2.

Nous vous recommandons de mettre à jour vos paquets bluez.

Pour disposer d'un état détaillé sur la sécurité de bluez, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/bluez.