Bluetooth BR EDR Core 至 5.2 Legacy Pairing 降级漏洞

admin

0
文章

0
评论

2023-12-01 21:37:03 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Bluetooth BR EDR Core 至 5.2 Legacy Pairing 降级漏洞

CVE编号

CVE-2020-10135

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2020-05-20

漏洞描述

Bluetooth®BR/EDR Core Specification v5.2及更早版本中的传统配对和安全连接配对身份验证可能允许未经身份验证的用户通过相邻访问完成无需配对凭据的身份验证。未经验证的相邻攻击者可以模拟Bluetooth BR/EDR主设备或从设备与以前配对的远程设备配对，从而在不知道链接密钥的情况下成功完成身份验证过程。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00047.html
http://packetstormsecurity.com/files/157922/Bluetooth-Impersonation-Attack-BI...
http://seclists.org/fulldisclosure/2020/Jun/5
https://francozappa.github.io/about-bias/
https://kb.cert.org/vuls/id/647177/
https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetoot...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	bluetooth	bluetooth_core	*		Up to (including) 5.2
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	kernel	*		Up to (excluding) 4.19.90-23.8.v2101.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.4.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	kernel	*		Up to (excluding) 4.19.90-23.8.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.4.v2101.ky10
	运行在以下环境
	系统	opensuse_Leap_15.1	kernel	*		Up to (excluding) 4.12.14-lp151.28.59.1
	运行在以下环境
	系统	opensuse_Leap_15.2	kernel	*		Up to (excluding) 0.8_k5.3.18_lp152.36-lp152.6.2.1
	运行在以下环境
	系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-122.29.1
	运行在以下环境
	系统	ubuntu_16.04	linux	*		Up to (excluding) 4.4.0-1142.152
	运行在以下环境
	系统	ubuntu_16.04.7_lts	linux	*		Up to (excluding) 4.4.0-197.229
	运行在以下环境
	系统	ubuntu_18.04	linux-hwe-5.4	*		Up to (excluding) 4.15.0-1010.14
	运行在以下环境
	系统	ubuntu_18.04.5_lts	linux	*		Up to (excluding) 4.15.0-129.132
	运行在以下环境
	系统	ubuntu_20.04	linux	*		Up to (excluding) 5.4.0-37.42