ГлавнаяБаза уязвимостей БДУ → BDU:2019-03002
7.8высокая

BDU:2019-03002 (CVE-2019-9506)

Уязвимость реализации протокола согласования ключей шифрования Bluetooth BR/EDR, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю реализовать атаку типа «человек посередине», вмешаться в процедуру настройки шифрования для соединения BR/EDR и уменьшить длину используемого ключа шифрования
Опубликовано: 2019-08-30
Описание

Уязвимость реализации протокола согласования ключей шифрования Bluetooth BR/EDR связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине», вмешаться в процедуру настройки шифрования для соединения BR/EDR и уменьшить длину используемого ключа шифрования

Затрагиваемое ПО и версии
Windows 7 Service Pack 1Windows 8.1Windows Server 2012Windows Server 2012 R2Windows Server 2008 R2 Service Pack 1Windows RT 8.1Windows 10Windows 10 1607AndroidWindows 10 1703Windows Server 2016Windows Server 2012 R2 (Server Core installation)Windows Server 2016 (Server Core installation)Windows Server 2008 R2 Service Pack 1 (Server Core installation)Windows 10 1709Windows 10 1803Windows Server 1803 (Server Core Installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Windows 10 1903Windows Server 1903 (Server Core Installation)MacOS (10.12.6)MacOS (10.13.6)MacOS (10.14.5)tvOS (12.4)watchOS (5.3)iOS (12.4)Bluetooth BR/EDR (до 5.1 включительно)IP Phone 8800 Series (11.0(5)SR1)
Способ устранения

Использование рекомендаций:
Для Bluetooth BR/EDR:
https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/

Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9506

Для программных продуктов Apple Inc.:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Cisco Systems Inc.:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190813-bluetooth

Для Android:
https://source.android.com/security/bulletin/2019-08-01

Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.133
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.58
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.185
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.185
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.1.17

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugzilla.kernel.org/show_bug.cgi?id=203997https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9506https://kb.cert.org/vuls/id/918987/https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.133https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.58https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.185https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.185https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.1.17
Проверьте безопасность своего сайта и почты → Полная проверка домена