Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04863

Опубликовано: 08 июн. 2021
Источник: fstec
CVSS3: 5.7
CVSS2: 2.7
EPSS Низкий

Описание

Уязвимость стека протоколов Bluetooth для ОС Linux BlueZ связана с неправильной авторизацией. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
BlueZ
ОСОН ОСнова Оnyx
Linux
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
до 5.57 (BlueZ)
до 2.1 (ОСОН ОСнова Оnyx)
до 2.6 (ОСОН ОСнова Оnyx)
от 4.0 до 4.4.269 включительно (Linux)
от 4.10 до 4.14.233 включительно (Linux)
от 4.15 до 4.19.191 включительно (Linux)
от 4.20 до 5.4.121 включительно (Linux)
от 5.5 до 5.10.39 включительно (Linux)
от 5.11 до 5.12.6 включительно (Linux)
от 4.5 до 4.9.269 включительно (Linux)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
Сообщество свободного программного обеспечения Linux от 4.0 до 4.4.269 включительно
Сообщество свободного программного обеспечения Linux от 4.10 до 4.14.233 включительно
Сообщество свободного программного обеспечения Linux от 4.15 до 4.19.191 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.121 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.39 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.12.6 включительно
Сообщество свободного программного обеспечения Linux от 4.5 до 4.9.269 включительно
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,7)

Возможные меры по устранению уязвимости

Для Bluez:
Использование рекомендаций производителя: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00517.html
Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-0129
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа:
Обновление программного обеспечения bluez до версии 5.50-1.2~deb10u2
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bluez до версии 5.65-1
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6d19628f539fccf899298ff02ee4c73e4bf6df3f
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=00da0fb4972cf59e1c075f313da81ea549cb8738
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.270
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.270
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.234
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.192
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.122
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.40
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.7
Для ОС ОН «Стрелец»:
Обновление программного обеспечения bluez до версии 5.43-2+deb9u5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00123
Низкий

5.7 Medium

CVSS3

2.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-0129

CVSS3: 5.7
ubuntu
около 4 лет назад

Improper access control in BlueZ may allow an authenticated user to potentially enable information disclosure via adjacent access.

redhat логотип

CVE-2021-0129

CVSS3: 5.7
redhat
около 4 лет назад

Improper access control in BlueZ may allow an authenticated user to potentially enable information disclosure via adjacent access.

nvd логотип

CVE-2021-0129

CVSS3: 5.7
nvd
около 4 лет назад

Improper access control in BlueZ may allow an authenticated user to potentially enable information disclosure via adjacent access.

debian логотип

CVE-2021-0129

CVSS3: 5.7
debian
около 4 лет назад

Improper access control in BlueZ may allow an authenticated user to po ...

github логотип

GHSA-98mf-qrx3-4856

CVSS3: 5.7
github
около 3 лет назад

Improper access control in BlueZ may allow an authenticated user to potentially enable information disclosure via adjacent access.

EPSS

Процентиль: 33%
0.00123
Низкий

5.7 Medium

CVSS3

2.7 Low

CVSS2