FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir o desvio de restrição de acesso no bluez, aviso ArchLinux: 202003-13

sexta-feira, 20 de março de 2020

Atualização de segurança do ArchLinux para corrigir o desvio de restrição de acesso no bluez, aviso ArchLinux: 202003-13



Confira !!


O pacote bluez antes da versão 5.54-1 é vulnerável ao desvio de restrição de acesso.
Comunicado de Segurança do Arch Linux ASA-202003-13
==========================================

Gravidade: alta
Data: 2020-03-19
CVE-ID: CVE-2020-0556
Pacote: bluez
Tipo: desvio de restrição de acesso
Remoto: Sim
Link: https://security.archlinux.org/AVG-1116

Sumário
=======

O pacote bluez antes da versão 5.54-1 é vulnerável ao acesso
desvio de restrição.

Resolução
==========

Atualize para 5.54-1.

# pacman -Syu "bluez> = 5.54-1"

O problema foi corrigido upstream na versão 5.54.

Workaround
==========

Nenhum.

Descrição
===========

Foi descoberto que as implementações dos perfis HID e HOGP em
O bluez anterior ao 5.54 não exige especificamente a ligação entre o dispositivo
e o anfitrião. Isso cria uma oportunidade para um dispositivo malicioso
conectar-se a um host de destino para representar um dispositivo HID existente
sem segurança ou para causar uma descoberta de serviço SDP ou GATT
local que permitiria que os relatórios HID fossem injetados na entrada
subsistema de uma fonte não ligada.
Isso potencialmente permite que um invasor não autenticado com
acesso para representar um dispositivo HID existente, causar uma negação de serviço
ou escalar privilégios.

Impacto
======

Um invasor não autenticado com acesso adjacente pode representar um
dispositivo HID existente ou causar uma negação de serviço.

Referências
==========

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.html
https://www.openwall.com/lists/oss-security/2020/03/12/4
https://lore.kernel.org/linux-bluetooth/ Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. % MINIFYHTMLccfb123681c31716113af568d54a7e8713% /
https://patchwork.kernel.org/patch/11428317/
https://patchwork.kernel.org/patch/11428319/
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=8cdbd3b09f29da29374e2f83369df24228da0ad1
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=3cccdbab2324086588df4ccf5f892fb3ce1f1787
https://security.archlinux.org/CVE-2020-0556


Fonte

Até a próxima !!
Cezar Henrique at
Marcadores: Linux, Android, Segurança , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)