ニュース

Bluetoothスタック「BlueZ」に複数の脆弱性 ~Intel、2020年10月のセキュリティアドバイザリを公開

「BlueZ」をサポートする「Linux Kernel 5.9」より前のすべてのバージョンに影響

Bluetoothスタック「BlueZ」に複数の脆弱性

 米Intelは10月13日(現地時間)、同社製品に関する月例の脆弱性情報を公開した。今月のセキュリティアドバイザリは、1件のみ。LinuxやAndroidで利用されているBluetoothスタック「BlueZ」の欠陥が修正された。

 脆弱性ポータルサイト“JVN”が公開した脆弱性レポートによると、「BlueZ」には認証不要で権限昇格が可能となる入力検証不備の問題(CVE-2020-12351)、情報漏洩につながる恐れのあるアクセス制御不備の問題(CVE-2020-12352)、サービス運用妨害(DoS)状態が引き起こされる可能性のあるバッファー制限不備の問題(CVE-2020-24490)が存在する。なかでももっとも深刻なのは“CVE-2020-12352”で、“CVSS v3”の基本値は“8.3”。Intelによる脆弱性の深刻度評価は“High”となっている。

 影響範囲は「BlueZ」をサポートする「Linux Kernel 5.9」より前のすべてのバージョン。同社はカーネルフィックスの適用を推奨している。