КиберосноваSGRC
BDU:2020-03306
Высокий

BDU:2020-03306: Уязвимость программно-аппаратных драйверов Bluetooth операционных систем Android, macOS и iOS, позволяющая нарушителю реализовать атаку типа «человек посередине»

CVSS v36.8
CVSS v27.3
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2020-03306

Описание

Уязвимость программно-аппаратных драйверов Bluetooth операционных систем Android, macOS и iOS связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю реализовать атаку типа «человек посередине»

Что делать с BDU:2020-03306

Высокая уязвимость (CVSS 6.8) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
6.8Средний
Пересчитать →
v2
7.3
Только просмотр
AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:NAV:A/AC:M/Au:N/C:C/I:C/A:N

CWE — тип уязвимости

CWE-325
CWE-347

CVE — международный идентификатор

CVE-2018-5383

Тактики и техники

Подмена при взаимодействии

Уязвимое ПО (33)

ВендорНазваниеВерсияПлатформа
Canonical Ltd.Ubuntu16.04 LTSНе указана
Google IncAndroid6.0Не указана
Google IncAndroid6.0.1Не указана
Google IncAndroid7.0Не указана
Google IncAndroid7.1.1Не указана
Google IncAndroid7.1.2Не указана
Google IncAndroid8.0Не указана
Google IncAndroid8.1Не указана
Canonical Ltd.Ubuntu18.04 LTSНе указана
Apple Inc.iOSдо 11.4Не указана
Apple Inc.MacOSдо 10.13Не указана
Canonical Ltd.Ubuntu14.04 ESMНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux8Не указана
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 3160
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-N 7260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 7260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-N 7260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 7260 for Desktop
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 3165
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 3168
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-N 7265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-N 7265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 7265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Tri-Band Wireless-AC 17265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 8260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Tri-Band Wireless-AC 18260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 8265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Dual Band Wireless-AC 8265 Desktop Kit
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Tri-Band Wireless-AC 18265
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-AC 9260
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-AC 9461
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-AC 9462
Intel Corp.Intel PROSet/Wireless WiFiдо 20.60Intel Wireless-AC 9560

Среды функционирования (13)

ВендорНазваниеВерсияПлатформа
Canonical Ltd.Ubuntu16.04 LTSНе указана
Google IncAndroid6.0Не указана
Google IncAndroid6.0.1Не указана
Google IncAndroid7.0Не указана
Google IncAndroid7.1.1Не указана
Google IncAndroid7.1.2Не указана
Google IncAndroid8.0Не указана
Google IncAndroid8.1Не указана
Canonical Ltd.Ubuntu18.04 LTSНе указана
Apple Inc.iOSдо 11.4Не указана
Apple Inc.MacOSдо 10.13Не указана
Canonical Ltd.Ubuntu14.04 ESMНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux8Не указана

Рекомендации по устранению

Использование рекомендаций: https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update Для Ubuntu: https://usn.ubuntu.com/4094-1/ https://usn.ubuntu.com/4095-1/ https://usn.ubuntu.com/4095-2/ https://usn.ubuntu.com/4118-1/ https://usn.ubuntu.com/4351-1/ Для Android: https://source.android.com/security/bulletin/2018-06-01#asterisk Для программных продуктов Apple Inc.: https://support.apple.com/en-us/HT208937 https://support.apple.com/en-us/HT208848 Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/04/msg00005.html Для Intel: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00128.html

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 6.8

Уточните SLA под вашу среду

Базовый балл 6.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации0.2%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-07-16

Опубликована

2020-07-15

Обновлена

2024-03-20

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2018-5383 MITRE: CWE-325 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-02403
Средний
7.4

Уязвимость сервера telnetd пакета сетевых программ inetutils, позволяющая нарушителю повысить свои привилегии до уровня

BDU:2026-03449
Средний
5.5

Уязвимость модуля drivers/gpu/drm/amd/amdgpu/amdgpu_drv.c ядра операционной системы Linux, позволяющая нарушителю вызват

BDU:2026-03451
Средний
5.5

Уязвимость функции setup_nic_devices() модуля drivers/net/ethernet/cavium/liquidio/lio_main.c ядра операционной системы

BDU:2026-03450
Средний
5.5

Уязвимость функции setup_nic_devices() модуля drivers/net/ethernet/cavium/liquidio/lio_main.c ядра операционной системы

BDU:2026-00964
Высокий
6.5

Уязвимость программного интерфейса Background Fetch API браузера Google Chrome, позволяющая нарушиутелю раскрыть защищае

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0