CVE-2021-21367

Switchboard Bluetooth Plug para o elementary OS, versões 2.3.0 a 2.3.5

A vulnerabilidade permite que invasores fisicamente próximos emparelhem-se com um dispositivo que execute uma versão afetada do switchboard-plug-bluetooth sem o consentimento ativo do usuário, podendo extrair dados de serviços instalados ou controlar o dispositivo. Por padrão, o elementary OS não expõe serviços que permitam a extração de informações via Bluetooth, mas serviços instalados, como softwares de compartilhamento de lista de contatos, podem estar vulneráveis. Os invasores também podem reproduzir áudio ou apresentar um dispositivo HID para controlar o dispositivo. Os usuários devem verificar e remover dispositivos emparelhados não confirmados.

Para versões anteriores à 2.3.5, a fim de mitigar totalmente o risco, não abra o plug-in Bluetooth no switchboard e use um método diferente para emparelhar dispositivos, se necessário, como a CLI bluetoothctl. Para reduzir a probabilidade desse problema em versões sem patch, abra o plug-in Bluetooth apenas por breves intervalos quando for absolutamente necessário e, de preferência, não em áreas públicas lotadas. Para a melhor solução, atualize para a versão 2.3.5 ou posterior.