ГлавнаяБаза уязвимостей БДУ → BDU:2023-08562
8.3высокая

BDU:2023-08562 (CVE-2023-45866)

Уязвимость интерфейса HID Profile (Human Interface Device) стека протоколов Bluetooth для ОС Linux BlueZ, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды
Опубликовано: 2023-12-11
Описание

Уязвимость интерфейса HID Profile (Human Interface Device) стека протоколов Bluetooth для ОС Linux BlueZ связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольные команды

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)Android (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Android (12L)Astra Linux Special Edition (4.7)Fedora (38)Android (13)Fedora (39)Ubuntu (18.04 ESM)Ubuntu (23.04)Android (11)Ubuntu (23.10)Android (14)BlueZ (до 5.53)Android (от 4.2.2 до 10 включительно)MacOS (13.3.3)MacOS (12.6.7)iOS (16.6)ОС Аврора (до 5.1.1 включительно)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для BlueZ:
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/profiles/input?id=25a471a83e02e1effb15d5a488b3f0085eaeb675

Для Android:
https://source.android.com/docs/security/bulletin/2023-12-01?hlru&hl=ru
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/25a7d9aaceea0f7d6cb4ae3da5aa66efb0bc7db8
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/f4e439c22354f0aa868a982bc88bcc9de3bc37f7
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/a99edb35d6c044dbd607a74b88102bf2f36d5ef5
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/9194524a92e0f5859caeab1ff487d21d9b513d0b
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/5673b3c6bbe8c6c9edb8afb5e9499dc3a41d3943

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6540-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-45866

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2023-6a3fe615d3
https://bodhi.fedoraproject.org/updates/FEDORA-2023-26a02512e1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет bluez до 5.54-1~bpo10+1+ci202405281355+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Аврора:
https://cve.omp.ru/bb25402

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет bluez до 5.54-1~bpo10+1+ci202405281355+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9413?lang=ru

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://3dnews.ru/1097187/ocherednaya-uyazvimost-bluetooth-zatronula-produktsiyu-apple-ustroystva-pod-linux-i-androidhttps://www.securitylab.ru/news/544385.phphttps://source.android.com/docs/security/bulletin/2023-12-01?hlru&hl=ruhttp://changelogs.ubuntu.com/changelogs/pool/main/b/bluez/bluez_5.64-0ubuntu1/changeloghttps://bluetooth.comhttps://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/profiles/input?id=25a471a83e02e1effb15d5a488b3f0085eaeb675https://github.com/skysafe/reblog/tree/main/cve-2023-45866https://ubuntu.com/security/notices/USN-6540-1
Проверьте безопасность своего сайта и почты → Полная проверка домена