JVNDB-2020-009056

Intel 製 BlueZ に複数の脆弱性

Intel が提供する BlueZ には、次の複数の脆弱性が存在します。

　　* 不適切な入力検証 - CVE-2020-12351
　　* 不適切なアクセス制御 - CVE-2020-12352
　　* 不適切なバッファー制限 - CVE-2020-24490

インテル

• BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン

日本電気

• ActSecure ポータル

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

* 隣接するネットワーク上の第三者によって、認証不要で権限昇格が行われる。 - CVE-2020-12351
* 隣接するネットワーク上の第三者によって、認証不要で情報漏洩が行われる。 - CVE-2020-12352
* 隣接するネットワーク上の第三者によって、認証不要でサービス運用妨害 (DoS) 状態にされる。 - CVE-2020-24490

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。

[ワークアラウンドを実施する]
開発者は、下記の kernel fixes の適用を推奨しています。
https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-1-luiz.dentz@gmail.com/
https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-2-luiz.dentz@gmail.com/
https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-3-luiz.dentz@gmail.com/
https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-4-luiz.dentz@gmail.com/
https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e

インテル

• Intel : BlueZ Advisory

日本電気

• NEC製品セキュリティ情報 : NV21-003

1. CVE-2020-12351
2. CVE-2020-12352
3. CVE-2020-24490

1. JVN : JVNVU#90263580
2. National Vulnerability Database (NVD) : CVE-2020-12351
3. National Vulnerability Database (NVD) : CVE-2020-12352
4. National Vulnerability Database (NVD) : CVE-2020-24490

• [2020年10月15日]
    掲載
• [2023年02月10日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：NEC製品セキュリティ情報 (NV21-003) を追加