BlueBorne: Bluetooth-Sicherheitslücken in vielen Systemen

Hinweis: In dem Thema BlueBorne: Bluetooth-Sicherheitslücken in vielen Systemen gibt es 5 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • BlueBorne: Bluetooth-Sicherheitslücken in vielen Systemen

    Nachrichten schrieb:

    Die Sicherheitsfirma Armis hat acht weit verbreitete Sicherheitslücken in der Bluetooth-Implementation von Android, Linux, iOS und MS Windows gefunden. Insbesondere für Android sind die Lücken kritisch. Der September-Patch von Google behebt sie, aber viele Benutzer, die Updates von ihrem Gerätehersteller erhalten, dürften immer noch auf die Korrektur warten.
    Quelle: pro-linux.de/news/1/25145/blue…n-in-vielen-systemen.html

    Für den Inhalt des Beitrages 112610 haftet ausdrücklich der jeweilige Autor: openSUSE-Forum-Team

  • Gibt es irgendwelche Neuigkeiten zu Patches?

    a) Der Bluetooth-Stack (BlueZ) wurde scheinbar aktualisiert -> BlueZ 5.47
    bluez.org/release-of-bluez-5-47/
    Ob damit alle BlueBorne-Schwächen im Stack repariert wurden weiss ich nicht.

    Aber in der aktuellen openSUSE LEAP 42.3 ist immer noch BlueZ 5.41 die aktuellste Version.

    b) Auch der Kernel von BlueBorne betroffen
    In den letzten Tagen gab es bei openSUSE Kernel-Updates (LEAP 42.3 aktuell: 4.4.87-25). Ob die BlueBorne-Schwächen damit ausgeräumt wurden weiss ich aber nicht.


    Weiss da jemand mehr?
    OS: openSUSE LEAP 42.3 (Production Notebook), Tumbleweed (Testing Notebook), openSUSE 13.2 32-bit (HomeOffice Desktop; H/W + S/W Update/Upgrade pending)

    Für den Inhalt des Beitrages 112830 haftet ausdrücklich der jeweilige Autor: rgloor

  • Auf die Schnelle:
    Von den 2 Sachen hab ich einen Patch im Kernel gefunden: CVE-2017-1000251

    Kannst ja einmal selbst danach in den Änderungen zu kernel-default suchen:
    CVE-2017-1000251 und CVE-2017-1000250
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 112831 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Hallo Sauerland

    Danke für die Rückmeldung.
    Als einfacher Anwender bin ich zwar ein bisschen ratlos wo zu schauen.

    Ich habe mal in der YaST-Paketverwaltung den installierten Kernel-default (4.4.87-25) aufgerufen und da im Änderungsprotokoll den Eintrag zu CVE-2017-1000251 gefunden.

    Wie finde ich ältere Fixes? Das Änderungsprotokoll bezieht sich ja vermutlich nur auf die Änderungen seit dem letzten Update. Und da in den letzten Tagen - wenn ich mich richtig erinnere - mehr als ein Kernel-Update stattgefunden hat, wie komme ich an die Änderungshistorie von vorherigen Version. Um zB festzustellen ob eine spezifische Schwachstelle (CVE-.....) in einem vorangegangenen Update implementiert wurde?
    openSUSE verwendet ja nicht den Vanilla Kernel, sondern versorgt den in der entsprechenden OS-Version (zB LEAP 42.3) verwendeten Kernel (zB 4.4.x) zusätzlich mit eigenen Patches und mit Backports.
    So bringt es vermutlich nichts, nur auf kernel.org nach zu sehen.

    NB: Zu CVE-2017-1000250
    Dieser Schwachstelle betrifft den Bluetooth stack (BlueZ). Die Schwachstelle wurde in BlueZ 5.47 behoben. (bluez.org/release-of-bluez-5-47/)

    Diese BlueZ-Version steht in openSUSE (noch) nicht zur Verfügung. (Tumbleweed: 5.46, LEAP 42.3: 5.41). Zumindest in den Standard-Repositories. Seit heute ist BlueZ 5.47 in verschiedenen "Home:"-Repos verfügbar.


    Hoffen wir mal, dass der aktualisierte BlueZ (Bluetooth-Stack) bald in die Standard-Repos (OSS) wandert.
    OS: openSUSE LEAP 42.3 (Production Notebook), Tumbleweed (Testing Notebook), openSUSE 13.2 32-bit (HomeOffice Desktop; H/W + S/W Update/Upgrade pending)

    Für den Inhalt des Beitrages 112838 haftet ausdrücklich der jeweilige Autor: rgloor

  • rgloor schrieb:

    Hoffen wir mal, dass der aktualisierte BlueZ (Bluetooth-Stack) bald in die Standard-Repos (OSS) wandert.
    Da wird es für Leap eine Rückportierung geben, auf keinen fall die neue Version......


    rgloor schrieb:

    Wie finde ich ältere Fixes? Das Änderungsprotokoll bezieht sich ja vermutlich nur auf die Änderungen seit dem letzten Update. Und da in den letzten Tagen - wenn ich mich richtig erinnere - mehr als ein Kernel-Update stattgefunden hat, wie komme ich an die Änderungshistorie von vorherigen Version. Um zB festzustellen ob eine spezifische Schwachstelle (CVE-.....) in einem vorangegangenen Update implementiert wurde?
    openSUSE verwendet ja nicht den Vanilla Kernel, sondern versorgt den in der entsprechenden OS-Version (zB LEAP 42.3) verwendeten Kernel (zB 4.4.x) zusätzlich mit eigenen Patches und mit Backports.
    So bringt es vermutlich nichts, nur auf kernel.org nach zu sehen.
    GIT Browse
    Viel Spass........
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 112839 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Danke Sauerland für Deine Rückmeldung.

    Sauerland schrieb:

    rgloor schrieb:

    Hoffen wir mal, dass der aktualisierte BlueZ (Bluetooth-Stack) bald in die Standard-Repos (OSS) wandert.
    Da wird es für Leap eine Rückportierung geben, auf keinen fall die neue Version......

    OK.
    Das ist auf jeden Fall noch nicht erfolgt. Die aktuelle LEAP 42.3 version ist BlueZ 5.41-3.3 und stammt vom 02.August 2017. Also vor Bekanntgabe der Schwachstelle. (Die CVE-2017-1000250 habe ich da auf jeden Fall im Änderungsprotokoll nicht gefunden.)

    Aber openSUSE ist ja normalerweise bei Sicherheitsupdates relativ schnell.
    Harren wir der Dinge.

    Ich habe BT auf meinem (Production) Notebook vorsichtshalber ausgeschaltet. Kritischer ist da mein Android-Handy! Da musste ich notgedrungen auch BT deaktivieren. :(
    OS: openSUSE LEAP 42.3 (Production Notebook), Tumbleweed (Testing Notebook), openSUSE 13.2 32-bit (HomeOffice Desktop; H/W + S/W Update/Upgrade pending)

    Für den Inhalt des Beitrages 112842 haftet ausdrücklich der jeweilige Autor: rgloor

www.cyberport.de