如果没有附加标志,则不会强制执行蓝牙特性 LESC 安全要求 (CVE-2024-1638)
CVE编号
CVE-2024-1638利用情况
暂无补丁情况
N/A披露时间
2024-02-20漏洞描述
文档规定了BT_GATT_PERM_READ_LESC和BT_GATT_PERM_WRITE_LESC定义为Bluetooth特征的属性读/写权限与LE Secure Connection加密。如果设置了这些权限,需要使用LE Secure Connections进行读/写访问,但只有当它与其他权限组合时才是真实的,即BT_GATT_PERM_READ_ENCRYPT/BT_GATT_PERM_READ_AUTHEN(用于读取)或BT_GATT_PERM_WRITE_ENCRYPT/BT_GATT_PERM_WRITE_AUTHEN(用于写入),如果没有设置这些额外权限(即使在仅安全连接模式下),则堆栈不会对这些特征执行任何权限检查,可以自由地写入/读取。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-p6f3-f63q-5mc2 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论