检测

插件

RHEL 9：bluez (RHSA-2024:9413)

high Nessus 插件 ID 210817

语言：

简介

远程 Red Hat 主机缺少一个或多个 bluez 安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:9413 公告中提及的多个漏洞影响。

bluez 程序包中包含以下可用于蓝牙应用程序的实用工具：hcitool、hciattach、hciconfig、bluetoothd、l2ping、启动脚本 (Red Hat) 和 pcmcia 配置文件。

安全修复：

* bluez：未经授权的 HID 设备连接允许按键注入和任意命令执行 (CVE-2023-45866)

* BlueZ：数组索引远程代码执行漏洞的音频配置文件 AVRCP 不当验证 (CVE-2023-27349)

* bluez：电话簿访问配置文件基于堆的缓冲区溢出远程代码执行漏洞 (CVE-2023-51596)

* bluez：OBEX 库网络越界读取信息泄露漏洞 (CVE-2023-51594)

* bluez：音频配置文件 avrcp parse_media_folder 越界读取信息泄露漏洞 (CVE-2023-51592)

* bluez：音频配置文件 avrcp parse_media_element 越界读取信息泄露漏洞 (CVE-2023-51589)

* bluez：avrcp_parse_attribute_list 越界读取信息泄露漏洞 (CVE-2023-51580)

* bluez：AVRCP 基于堆的缓冲区溢出远程代码执行漏洞 (CVE-2023-44431)

* bluez：电话簿访问配置文件基于堆的缓冲区溢出远程代码执行漏洞 (CVE-2023-50230)

* bluez：电话簿访问配置文件基于堆的缓冲区溢出远程代码执行漏洞 (CVE-2023-50229)

有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

其他变更：

如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 9.5 版本说明。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2024:9413 中的指南更新 RHEL bluez 程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

http://www.nessus.org/u?bb08292d

https://bugzilla.redhat.com/show_bug.cgi?id=2253391

https://bugzilla.redhat.com/show_bug.cgi?id=2278787

https://bugzilla.redhat.com/show_bug.cgi?id=2278945

https://bugzilla.redhat.com/show_bug.cgi?id=2278955

https://bugzilla.redhat.com/show_bug.cgi?id=2278962

https://bugzilla.redhat.com/show_bug.cgi?id=2278965

https://bugzilla.redhat.com/show_bug.cgi?id=2278967

https://bugzilla.redhat.com/show_bug.cgi?id=2278969

https://bugzilla.redhat.com/show_bug.cgi?id=2278972

https://bugzilla.redhat.com/show_bug.cgi?id=2278974

http://www.nessus.org/u?c34760e1

https://access.redhat.com/errata/RHSA-2024:9413

插件详情

严重性: High

ID: 210817

文件名: redhat-RHSA-2024-9413.nasl

版本: 1.2

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2024/11/12

最近更新时间: 2025/7/9

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 8.3

时间分数: 6.1

矢量: CVSS2#AV:A/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-50230

CVSS v3

风险因素: High

基本分数: 8

时间分数: 7

矢量: CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:bluez-libs, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:bluez-obexd, p-cpe:/a:redhat:enterprise_linux:bluez-libs-devel, p-cpe:/a:redhat:enterprise_linux:bluez, p-cpe:/a:redhat:enterprise_linux:bluez-cups

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2024/11/12

漏洞发布日期: 2023/5/17

参考资料信息

CVE: CVE-2023-27349, CVE-2023-44431, CVE-2023-45866, CVE-2023-50229, CVE-2023-50230, CVE-2023-51580, CVE-2023-51589, CVE-2023-51592, CVE-2023-51594, CVE-2023-51596

CWE: 121, 122, 125, 129, 285

RHSA: 2024:9413