Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05666

Опубликовано: 08 июн. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 8.3
EPSS Низкий

Описание

Уязвимость реализации протокола GATT (Generic ATTribute Profile) стека протоколов Bluetooth для ОС Linux BlueZ связана с выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код путем отправки специально созданных файлов

Вендор

Canonical Ltd.
ООО «РусБИТех-Астра»
Fedora Project
BlueZ Project
АО "НППКТ"

Наименование ПО

Ubuntu
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
Fedora
BlueZ
ОСОН ОСнова Оnyx

Версия ПО

18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
35 (Fedora)
21.10 (Ubuntu)
1.7 (Astra Linux Special Edition)
до 5.63 (BlueZ)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Fedora Project Fedora 35
Canonical Ltd. Ubuntu 21.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для BlueZ:
https://github.com/bluez/bluez/commit/591c546c536b42bef696d027f64aa22434f8c3f0
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=591c546c536b42bef696d027f64aa22434f8c3f0
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5275-1
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-1ef9e72355
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bluez до версии 5.65-1
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет bluez до 5.43-2+deb9u5+ci202404091856+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС Astra Linux:
обновить пакет bluez до 5.43-2+deb9u5+ci202404091856+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.0005
Низкий

8.8 High

CVSS3

8.3 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-0204

CVSS3: 8.8
ubuntu
почти 4 года назад

A heap overflow vulnerability was found in bluez in versions prior to 5.63. An attacker with local network access could pass specially crafted files causing an application to halt or crash, leading to a denial of service.

redhat логотип

CVE-2022-0204

CVSS3: 6.8
redhat
около 4 лет назад

A heap overflow vulnerability was found in bluez in versions prior to 5.63. An attacker with local network access could pass specially crafted files causing an application to halt or crash, leading to a denial of service.

nvd логотип

CVE-2022-0204

CVSS3: 8.8
nvd
почти 4 года назад

A heap overflow vulnerability was found in bluez in versions prior to 5.63. An attacker with local network access could pass specially crafted files causing an application to halt or crash, leading to a denial of service.

debian логотип

CVE-2022-0204

CVSS3: 8.8
debian
почти 4 года назад

A heap overflow vulnerability was found in bluez in versions prior to ...

suse-cvrf логотип

SUSE-SU-2022:3247-1

suse-cvrf
больше 3 лет назад

Security update for bluez

EPSS

Процентиль: 15%
0.0005
Низкий

8.8 High

CVSS3

8.3 High

CVSS2