2020-0508: BlueZ: Eine Schwachstelle ermöglicht u. a. die Eskalation von Privilegien

Historie:

Version 1 (2020-03-11 17:57): Neues Advisory
Version 2 (2020-03-27 17:24): Debian stellt für die alte stabile Distribution Stretch die Version 5.43-2+deb9u2 und für die stabile Distribution Buster die Version 5.50-1.2~deb10u1 von 'bluez' als Sicherheitsupdates bereit, um die Schwachstelle zu beheben.
Version 3 (2020-04-06 11:31): Intel hat den Sicherheitshinweis mittlerweile aktualisiert und gibt an, dass BlueZ 5.54 die Schwachstelle behebt. Bisher war hier Version 5.53 als Lösung aufgeführt. Für SUSE Linux Enterprise Workstation Extension 15 SP1 sowie für die SUSE Linux Enterprise Module für Basesystem, Desktop Applications und Open Buildservice Development Tools in Version 15 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'bluez' bereit.
Version 4 (2020-04-09 10:56): Für die Distribution openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'bluez' zur Behebung der Schwachstelle zur Verfügung.
Version 5 (2020-06-10 11:07): Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'bluez' auf Version 5.43-2+deb9u2~deb8u1 bereit, um die Schwachstelle zu beheben.
Version 6 (2020-06-29 09:53): Für die Distribution openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'bluez' zur Behebung der Schwachstelle zur Verfügung.
Version 7 (2020-09-30 14:00): Red Hat stellt für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing) Sicherheitsupdates für 'bluez' bereit, um die Schwachstelle zu beheben. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.9 zur Verfügung gestellt.
Version 8 (2020-11-04 19:54): Für Red Hat Enterprise Linux 8 (x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'bluez' bereit. Dieses Update wird im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.3 zur Verfügung gestellt.
Version 9 (2020-11-18 08:47): Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'bluez' bereit.
Version 10 (2020-11-26 10:26): SUSE veröffentlicht zur Behebung der Schwachstelle Sicherheitsupdates für 'bluez' für SUSE OpenStack Cloud 7, 8, 9, Crowbar 8 und 9, die SUSE Linux Enterprise Produkte Workstation Extension 12 SP5, Software Development Kit 12 SP5, Server for SAP 12 SP2, SP3 und SP4, Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5 sowie SUSE Enterprise Storage 5.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein Angreifer im benachbarten Netzwerk kann Privilegien eskalieren. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Intel informiert über die Schwachstelle und veröffentlicht BlueZ in der Version 5.53 um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2020-0556

Schwachstelle in BlueZ ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.

DFN-CERT