Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1610 BlueZ: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.09.2017):
Debian stellt für die stabile Distribution Stretch und die vormals stabile
Distribution Jessie 'bluez'-Pakete in den Versionen 5.43-2+deb9u1 bzw.
5.23-2+deb8u1 als Sicherheitsupdates bereit, um diese Schwachstelle zu
adressieren.
Version 1 (13.09.2017):
Neues Advisory

Betroffene Software:

BlueZ


Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Debian Linux 8.9 Jessie
Debian Linux 9.1 Stretch
Oracle Linux 6
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 26
Red Hat Fedora 27



Eine Schwachstelle im Linux Bluetooth-Stack BlueZ ermöglicht es einem nicht
authentisierten Angreifer, der sich in einer ausreichenden Entfernung für
Bluetooth-Verbindungen befindet, sensitive Informationen aus dem
Prozessspeicher auszuspähen. Hierfür muss der Angreifer weder mit dem Gerät
gekoppelt sein, noch werden Benutzerinteraktionen benötigt. Im Kontext von
Linux wurde diese Schwachstelle zusammen mit einer weiteren Schwachstelle
(CVE-2017-1000251) unter dem Namen 'BlueBorne' veröffentlicht.

Für Fedora 26 und 27 stehen die Pakete 'bluez-5.46-6.fc26' und
'bluez-5.46-6.fc27' als Sicherheitsupdates im Status 'testing' bereit.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Server, Desktop, Workstation und Scientific Computing sowie für Red Hat
Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Compute Node
Extended Update Support (EUS) 7.4 sowie die Red Hat Enterprise Linux Server
7.4 Produktversionen Extended Update Support (EUS), Advanced Update Support
(AUS) und Telco Update Support (TUS) Sicherheitsupdates für 'bluez' zur
Verfügung.

Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64)
Sicherheitsupdates in Form aktualisierter 'bluez'-Pakete bereit.

Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04
LTS Sicherheitsupdates für 'bluez' bereit.


Patch:

Fedora Security Update FEDORA-2017-77f991e537 (Fedora 27, bluez-5.46-6.fc27)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-77f991e537>

Patch:

Fedora Security Update FEDORA-2017-fe95a5b88b (Fedora 26, bluez-5.46-6.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe95a5b88b>

Patch:

Oracle Linux Security Advisory ELSA-2017-2685

<https://linux.oracle.com/errata/ELSA-2017-2685.html>

Patch:

Red Hat Security Advisory RHSA-2017:2685

<https://access.redhat.com/errata/RHSA-2017:2685>

Patch:

Ubuntu Security Notice USN-3413-1

<http://www.ubuntu.com/usn/usn-3413-1/>

Patch:

Debian Security Advisory DSA-3972-1

<https://www.debian.org/security/2017/dsa-3972>


CVE-2017-1000250: Schwachstelle in BlueZ ermöglicht Ausspähen von
Informationen

In der Implementierung von 'bluetoothd' im Service Discovery Protocol (SDP)
in BlueZ besteht eine Schwachstelle in der Funktion
'service_search_attr_req', wodurch Lesezugriffe außerhalb der gültigen
Speichergrenzen auf dem Heap-basierten Pufferspeicher (Out-of-bounds Heap
Read) durchgeführt werden können. Ein speziell präpariertes Bluetooth-Gerät
kann die Schwachstelle ohne vorherige Kopplung oder Benutzerinteraktion
ausnutzen und Teile des 'bluetoothd'-Prozessspeichers abrufen. Diese den
Linux Bluetooth-Stack BlueZ betreffende Schwachstelle ist zusammen mit einer
weiteren Schwachstelle (CVE-2017-1000251), die es einem Angreifer im
schlimmsten Fall ermöglicht ein System vollständig zu übernehmen, unter dem
Namen 'BlueBorne-Angriff' für Linux veröffentlicht worden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1610/>

Fedora Security Update FEDORA-2017-77f991e537 (Fedora 27, bluez-5.46-6.fc27):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-77f991e537>

Fedora Security Update FEDORA-2017-fe95a5b88b (Fedora 26, bluez-5.46-6.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe95a5b88b>

Schwachstelle CVE-2017-1000250 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000250>

Oracle Linux Security Advisory ELSA-2017-2685:
<https://linux.oracle.com/errata/ELSA-2017-2685.html>

Red Hat Security Advisory RHSA-2017:2685:
<https://access.redhat.com/errata/RHSA-2017:2685>

Ubuntu Security Notice USN-3413-1:
<http://www.ubuntu.com/usn/usn-3413-1/>

Debian Security Advisory DSA-3972-1:
<https://www.debian.org/security/2017/dsa-3972>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.