Информация по безопасности / 2021 / Информация о безопасности -- DSA-4951-1 bluez

Рекомендация Debian по безопасности

DSA-4951-1 bluez -- обновление безопасности

Дата сообщения:

07.08.2021

Затронутые пакеты:

bluez

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 989614.
В каталоге Mitre CVE: CVE-2020-26558, CVE-2020-27153, CVE-2021-0129.

Более подробная информация:

В Bluez, стеке протокола Bluetooth для Linux, было обнаружено несколько уязвимостей.

• CVE-2020-26558

  / CVE-2021-0129

  Было обнаружено, что Bluez неправильно проверяет права доступа во время операции сопряжения, что может позволить злоумышленнику выдать себя за инициирующее устройство.

• CVE-2020-27153

  Jay LV обнаружил двойное освобождение памяти в функции disconnect_cb() в gattool. Удалённый злоумышленник может использовать эту уязвимость во время обнаружения служб для вызова отказа в обслуживании или выполнения произвольного кода.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 5.50-1.2~deb10u2.

Рекомендуется обновить пакеты bluez.

С подробным статусом поддержки безопасности bluez можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/bluez