Google 與 Intel 日前共同針對 Linux 的藍牙嚴重資安漏洞發布資安通報,力促用戶升級 Linux 核心,以免遭駭。
Google 與 Intel 日前共同針對 Linux 藍牙通訊協定堆疊的嚴重資安漏洞 BleedingTooth 發布資安通報,力促用戶升級 Linux 核心至 5.10 以上版本,以避免遭駭侵者利用此漏動發動攻擊。
這個稱為 BleedingTooth 的漏洞,發生在 Linux 使用的開源藍牙通訊協定堆疊 BlueZ 程式庫上;Linux 自核心版本 2.4.6 就開始使用 BlueZ 處理藍牙通訊。據 Google 發表的資安通報指出,駭侵者可利用特製的 l2cap 輸入封包誘發 BleedingTooth 漏洞,從而提升程式碼執行權限,進行 DoS 攻擊或以核心權限執行任意程式碼。
這個編號為 CVE-2020-12351 的漏洞,其 CVSS 危險程度評分高達 8.3 分;由於許多具備藍牙連線能力的 IoT 裝置,多半也使用 Linux 做為作業系統,因此潛在可能遭駭的裝置數量極多。
Google 也在 GitHub 中發布了利用 BleedingTooth 攻擊 Linux BlueZ 的概念實作程式碼。
Intel 也在近日針對 BleedingTooth 漏洞發表資安通報,指出 BlueZ 已經提供 Linux 核心程式碼的修補更新,用戶應即將裝置內的 Linux 核心升級至 5.10 或更新版本,以修補 BlueZ 漏洞。
- CVE編號:CVE-2020-12351
- 解決方案:將裝置內的 Linux 核心升級至 5.10 或更高版本
- 參考連結
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12351
https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html
https://threatpost.com/google-intel-kernel-bug-linux-iot/160067/
- 更多【資安事件及新聞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html
留言列表
資安宣導 (2)
