Vulnerabilidad en Bluetooth (CVE-2018-5383)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/08/2018
Última modificación:
03/10/2019
Descripción
El firmware bluetooth o los controladores de software del sistema operativo en versiones de macOS anteriores a la 10.13, versiones High Sierra e iOS anteriores a la 11.4 y versiones de Android anteriores al parche del 05/06/2018, podrían no validar lo suficiente parámetros de curva elíptica empleados para generar claves públicas durante un intercambio de claves Diffie-Hellman, lo que podría permitir que un atacante remoto obtenga la clave de cifrado empleada por el dispositivo.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:google:android:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:6.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:7.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:7.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:* | 11.4 (excluyendo) | |
| cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* | 10.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.cs.technion.ac.il/~biham/BT/
- http://www.securityfocus.com/bid/104879
- http://www.securitytracker.com/id/1041432
- https://access.redhat.com/errata/RHSA-2019:2169
- https://lists.debian.org/debian-lts-announce/2019/04/msg00005.html
- https://usn.ubuntu.com/4094-1/
- https://usn.ubuntu.com/4095-1/
- https://usn.ubuntu.com/4095-2/
- https://usn.ubuntu.com/4118-1/
- https://usn.ubuntu.com/4351-1/
- https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update
- https://www.kb.cert.org/vuls/id/304725