BDU:2021-04863
АО "НППКТ", Сообщество свободного программного обеспечения, АО «Концерн ВНИИНС», ООО «РусБИТех-Астра BlueZ, Astra Linux Special Edition, ОС ОН «Стрелец», ОСОН ОСнова Оnyx, Debian GNU/Linux, Linux
2021-06-08
Уязвимость стека протоколов Bluetooth для ОС Linux BlueZ связана с неправильной авторизацией. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Bluez: Использование рекомендаций производителя: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00517.html
Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-0129
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа: Обновление программного обеспечения bluez до версии 5.50-1.2~deb10u2
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения bluez до версии 5.65-1
Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6d19628f539fccf899298ff02ee4c73e4bf6df3f https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=00da0fb4972cf59e1c075f313da81ea549cb8738 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.270 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.270 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.234 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.192 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.122 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.40 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.7
Для ОС ОН «Стрелец»: Обновление программного обеспечения bluez до версии 5.43-2+deb9u5