ГлавнаяБаза уязвимостей БДУ → BDU:2024-01454
6.8высокая

BDU:2024-01454 (CVE-2023-27349)

Уязвимость реализации протокола AVRCP стека протоколов Bluetooth для ОС Linux BlueZ, позволяющая нарушителю выполнить произвольный код с правами root
Опубликовано: 2024-02-20
Описание

Уязвимость реализации протокола AVRCP стека протоколов Bluetooth для ОС Linux BlueZ связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с правами root

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE OpenStack Cloud (9)SUSE Linux Enterprise Workstation Extension (12 SP5)openSUSE TumbleweedSUSE OpenStack Cloud (Crowbar 9)Suse Linux Enterprise Server (12 SP4-ESPOS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)SUSE Enterprise Storage (7)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)
Способ устранения

Использование рекомендаций:
Для BlueZ
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=f54299a850676d92c3dafd83e9174fcfe420ccc9

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27349.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет bluez до 5.66-1+deb12u2+ci202410041818+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет bluez до 5.54-1~bpo10+1.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет bluez до 5.54-1~bpo10+1.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9413?lang=ru

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/?id=f54299a850676d92c3dafd83e9174fcfe420ccc9https://www.zerodayinitiative.com/advisories/ZDI-CAN-19908/https://www.suse.com/security/cve/CVE-2023-27349.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9413?lang=ru
Проверьте безопасность своего сайта и почты → Полная проверка домена