I. 개요
여러 OS 및 장치에 Bluetooth 구현의 취약점 "BlueBorne"
정보가 취약점의보고에 의해 공개되어 있습니다. 취약점을 악용
경우 공격자가 원격으로 정보를 절취되거나 장치가 조작되거나
등의 가능성이 있습니다.
Armis
The IoT Attack Vector "BlueBorne"Exposes Almost Every Connected Device
https://www.armis.com/blueborne/
본 취약점은 여러 OS와 디바이스에 영향을 미친다고되어 있습니다. 개발자
정보에 따라 소프트웨어 업데이트를 적용하는 등의 대책을 검토
하십시오.
II. 대상
"BlueBorne"으로보고 된 일련의 취약점은 여러 OS와 디바이스가
대상이됩니다. 보고자에서 영향을받는 대상 OS로서 다음을들 수
있습니다.
- Android
- 보안 패치 수준 2017 년 9 월을 적용하지 않은 Android
(CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
- Windows
- 2017 년 9 월 마이크로 소프트 보안 업데이트를 적용하고
없는 Windows Vista 이상 Windows (CVE-2017-8628)
- Linux
- Kernel 3.3-rc1 이상 (CVE-2017-1000251)
- BlueZ 모든 버전 (CVE-2017-1000250)
- iOS, tvOS
- iOS 9.3.5 및 이전 버전, AppleTV tvOS 7.2.2 및 이전
(CVE-2017-14315)
취약점의보고들에 따르면, iOS 대해 iOS 10은 이미 대책이 마련하였다 라는 것입니다.
취약점의 영향을받는 제품은 향후 확대 될 가능성이 있습니다.
III. 대책
OS 개발자보다 본 취약점에 대한 정보를 볼 수 있습니다. 개발 정보를 참고 하시고 업데이트 등의 대책을 실시합니다.
- Android
Android Security Bulletin-September 2017
https://source.android.com/security/bulletin/2017-09-01
- Windows
CVE-2017-8628 | Microsoft Bluetooth 드라이버 스푸핑 취약점
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628
- Linux
- RedHat
Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251
https://access.redhat.com/security/vulnerabilities/blueborne
CVE-2017-1000250
https://access.redhat.com/security/cve/CVE-2017-1000250
- ubuntu
Bluetooth / BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250 CVE-2017-1000251 aka BlueBorne)
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne
IV. 참고 정보
Armis
The IoT Attack Vector "BlueBorne"Exposes Almost Every Connected Device
https://www.armis.com/blueborne/
CERT / CC Vulnerability Note VU # 240311
Multiple Bluetooth implementation vulnerabilities affect many devices
https://www.kb.cert.org/vuls/id/240311
US-CERT
BlueBorne Bluetooth Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2017/09/12/BlueBorne-Bluetooth-Vulnerabilities
'Security_News > 국내보안소식' 카테고리의 다른 글
탐앤탐스 개인정보 침해사고 소식 (0) | 2017.09.19 |
---|---|
「개인영상정보 보호법」 제정법률(안) 재입법예고 (0) | 2017.09.14 |
ios 11 업데이트 사항 (0) | 2017.09.13 |
사회기반시설사업·지역개발사업의 정보화계획 수립에 관한 지침 행정예고 안내 (0) | 2017.09.12 |
이스트소프트 개인정보 침해사고 사건 발생 경위 및 분석 진행상황 안내 (0) | 2017.09.10 |