sexta-feira, 20 de março de 2020
Atualização de segurança do ArchLinux para corrigir o desvio de restrição de acesso no bluez, aviso ArchLinux: 202003-13
Confira !!
O pacote bluez antes da versão 5.54-1 é vulnerável ao desvio de restrição de acesso.
Comunicado de Segurança do Arch Linux ASA-202003-13
==========================================
Gravidade: alta
Data: 2020-03-19
CVE-ID: CVE-2020-0556
Pacote: bluez
Tipo: desvio de restrição de acesso
Remoto: Sim
Link: https://security.archlinux.org/AVG-1116
Sumário
=======
O pacote bluez antes da versão 5.54-1 é vulnerável ao acesso
desvio de restrição.
Resolução
==========
Atualize para 5.54-1.
# pacman -Syu "bluez> = 5.54-1"
O problema foi corrigido upstream na versão 5.54.
Workaround
==========
Nenhum.
Descrição
===========
Foi descoberto que as implementações dos perfis HID e HOGP em
O bluez anterior ao 5.54 não exige especificamente a ligação entre o dispositivo
e o anfitrião. Isso cria uma oportunidade para um dispositivo malicioso
conectar-se a um host de destino para representar um dispositivo HID existente
sem segurança ou para causar uma descoberta de serviço SDP ou GATT
local que permitiria que os relatórios HID fossem injetados na entrada
subsistema de uma fonte não ligada.
Isso potencialmente permite que um invasor não autenticado com
acesso para representar um dispositivo HID existente, causar uma negação de serviço
ou escalar privilégios.
Impacto
======
Um invasor não autenticado com acesso adjacente pode representar um
dispositivo HID existente ou causar uma negação de serviço.
Referências
==========
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.html
https://www.openwall.com/lists/oss-security/2020/03/12/4
https://lore.kernel.org/linux-bluetooth/ Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. % MINIFYHTMLccfb123681c31716113af568d54a7e8713% /
https://patchwork.kernel.org/patch/11428317/
https://patchwork.kernel.org/patch/11428319/
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=8cdbd3b09f29da29374e2f83369df24228da0ad1
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=3cccdbab2324086588df4ccf5f892fb3ce1f1787
https://security.archlinux.org/CVE-2020-0556
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
ArchLinux,
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário