Vulnérabilité dans BlueZ - L’utilitaire bluetooth Linux

Date de publication : 29/09/2022

Une vulnérabilité a été découverte dans BlueZ, implémentation Bluetooth utilisée par les systèmes Linux. Un attaquant non-authentifié présent à proximité de l’appareil vulnérable peut provoquer un déni de service voire exécuter du code arbitraire.

CVE-2020-27153 [Score CVSS v3 : 8.6] : Une vulnérabilité de type “double free” a été découverte dans BlueZ. Un attaquant non-authentifié présent à proximité peut provoquer un déni de service voire exécuter du code arbitraire via l’envoi d’événements MGMT spécialement conçus.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service
Exécution de code arbitraire

Criticité

Score CVSS v3 : 8.6

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

BlueZ avant la version 5.55

CVE

CVE-2020-27153

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour BlueZ vers la version 5.55 ou supérieure, ou appliquer les correctifs de sécurité proposés par la distribution Linux utilisée

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

OpenSUSE - Mise à jour de sécurité pour BlueZ