Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 9 (07.05.20):
Canonical stellt für Ubuntu 18.04 LTS und Ubuntu 16.04 LTS
Sicherheitsupdates für ‘linux-firmware’ bereit, um die Schwachstelle zu
schließen.
Version 8 (06.08.19):
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für ‘linux-
firmware’ bereit, welche unter anderem diese Schwachstelle beheben. Die
Updates stehen unter anderem für die Produktvarianten Red Hat Enterprise
Linux for Scientific Computing 7, Desktop 7, Server 7 und Workstation 7
zur Verfügung.
Version 7 (29.04.19):
Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein
Sicherheitsupdate für die ‘kernel-firmware’ bereit, mit dem die
Schwachstelle in Bluetooth behoben wird.
Version 6 (02.04.19):
Debian stellt für Debian 8 Jessie (LTS) ein aktualisiertes ‘firmware-
nonfree’-Paket als Sicherheitsupdate zur Behebung der Schwachstelle zur
Verfügung.
Version 5 (04.03.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für openSUSE Leap 42.3 zur Verfügung.
Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-as-a-
Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein Angreifer im benachbarten Netzwerk kann eine Schwachstelle in der
Bluetooth-Firmware ausnutzen, um Schlüsselmaterial auszuspähen, welches ihm
ermöglicht in einem Man-in-the-Middle (MitM)-Angriff Informationen
auszuspähen und zu manipulieren. Ein erfolgreicher Angriff erfordert die
Interaktion eines Benutzers.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 8 (06.08.19):
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für ‘linux-
firmware’ bereit, welche unter anderem diese Schwachstelle beheben. Die
Updates stehen unter anderem für die Produktvarianten Red Hat Enterprise
Linux for Scientific Computing 7, Desktop 7, Server 7 und Workstation 7
zur Verfügung.
Version 7 (29.04.19):
Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein
Sicherheitsupdate für die ‘kernel-firmware’ bereit, mit dem die
Schwachstelle in Bluetooth behoben wird.
Version 6 (02.04.19):
Debian stellt für Debian 8 Jessie (LTS) ein aktualisiertes ‘firmware-
nonfree’-Paket als Sicherheitsupdate zur Behebung der Schwachstelle zur
Verfügung.
Version 5 (04.03.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für openSUSE Leap 42.3 zur Verfügung.
Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-
as-a-Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 7 (29.04.19):
Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein
Sicherheitsupdate für die ‘kernel-firmware’ bereit, mit dem die
Schwachstelle in Bluetooth behoben wird.
Version 6 (02.04.19):
Debian stellt für Debian 8 Jessie (LTS) ein aktualisiertes ‘firmware-
nonfree’-Paket als Sicherheitsupdate zur Behebung der Schwachstelle zur
Verfügung.
Version 5 (04.03.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für openSUSE Leap 42.3 zur Verfügung.
Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-
as-a-Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (02.04.19):
Debian stellt für Debian 8 Jessie (LTS) ein aktualisiertes ‘firmware-
nonfree’-Paket als Sicherheitsupdate zur Behebung der Schwachstelle zur
Verfügung.
Version 5 (04.03.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für openSUSE Leap 42.3 zur Verfügung.
Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-
as-a-Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (04.03.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für openSUSE Leap 42.3 zur Verfügung.
Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-
as-a-Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (22.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE OpenStack Cloud 7, die SUSE Linux Enterprise
Produkte Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS und 12 SP2 BCL,
Desktop 12 SP3, SUSE Enterprise Storage 4 sowie SUSE Container-
as-a-Service (CaaS) Platform ALL und 3.0 zur Verfügung.
Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (19.02.19):
Das Sicherheitsupdate zur Behebung der Schwachstelle in ‘kernel-firmware’
steht nun auch für SUSE Linux Enterprise Server 12 SP1 LTSS zur Verfügung.
Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (19.02.19):
Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für
‘kernel-firmware’ bereit, um diese Schwachstelle zu adressieren.
Version 1 (26.07.18):
Neues Advisory

Ein nicht authentisierter Angreifer in Reichweite des Bluetooth-Geräts kann
eine Schwachstelle in der Bluetooth-Firmware verschiedener Herstelle
ausnutzen, um während des Pairing-Vorganges zwischen zwei Bluetooth-Geräten
sensibles Schlüsselmaterial auszuspähen. In der Folge kann der Angreifer
Bluetooth-Nachrichten abfangen, entschlüsseln, fälschen und wieder
einschleusen und dadurch einen Man-in-the-Middle (MitM)-Angriff ausführen.

Die Bluetooth ‘Special Interest Group’ (SIG) gibt bekannt, dass die
Schwachstelle aufgrund der fehlerhaften Bluetooth Spezifikation besteht und
stellt eine aktualisierte Version der Spezifikation bereit (siehe Bluetooth
SIG Security Update).

Bislang haben bereits eine Reihe von Herstellern Software-Updates zur
Behebung der Schwachstelle veröffentlicht: Apple hat die Schwachstelle in
iOS 11.4, macOS High Sierra 10.13.6, macOS Sierra 10.12.6:2018-004 und
macOSX 10.11.6:2018-004 adressiert (siehe Apple-ADVs HT208849, HT208848 und
HT20893). Google hat die Schwachstelle für alle aktuellen Versionen von
Google Android und im ‘Android Open Source Project’ (AOSP) im Juni behoben.
Die Hersteller Samsung und LG haben die Schwachstelle in den
Sicherheitsupdates im Juli adressiert.

Intel stellt u. a. für Microsoft Windows Firmware-Updates für eine Reihe von
Bluetooth-Geräten bereit (siehe INTEL-SA-00128). Intel weist darauf hin,
dass die Firmware-Updates auch der Linux-Community zur Verfügung gestellt
wurden und merkt an, dass der Linux Kernel ab Version 3.9 von dieser
Schwachstelle betroffen sein könnte. Weitere Informationen zur
Verwundbarkeit des Linux-Kernels stehen derzeit nicht zur Verfügung.

Das CERT der Carnegie Mellon University gibt an, dass Microsoft Produkte
nicht von der Schwachstelle betroffen sind. Von Seiten Microsoft gibt es
bislang noch keine offizielle Stellungnahme. Allerdings haben u. a. die
Hersteller Broadcom, Intel und Qualcomm (siehe Vulnerability Note VU#304725)
Treiber-Sicherheitsupdates für Windows zur Behebung der Schwachstelle
bereitgestellt. Nutzer von Microsoft Windows müssen deshalb ein geeignetes
Sicherheitsupdate von dem jeweiligen Hersteller der Bluetooth-Komponente
direkt beziehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html