據發現，BlueZ 中的 HID 和 HOGP 設定檔實作未明確要求綁定裝置和主機。
惡意裝置可利用此缺陷，在不安全的情況下連線至目標主機，並模擬現有的 HID 裝置，或引發 SDP 或 GATT 服務探索，進而允許將 HID 報告插入來自非連結來源的輸入子系統。

針對 HID 設定檔，引入新的組態選項 (ClassicBondedOnly)，以確保輸入連線僅來自連結的裝置連線。這些選項預設為「false」，以最大限度提高裝置相容性。

請注意，由於 Jessie 的先前版本 (以上游版本 5.23) 為基礎) 與可解決此弱點的可用修補程式之間有重大變更，因此決定將 Debian 9「Stretch」的 bluez 套件反向移植作為解決此弱點的唯一可行方法。

針對 Debian 8「Jessie」，已在 5.43-2+deb9u2~deb8u1 版本中修正此問題。

建議您升級 bluez 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2240-1：bluez 安全性更新

high Nessus Plugin ID 137282

版本 1.5