Se informó de que las implementaciones de los perfiles HID y HOGP de BlueZ no requieren específicamente que se vinculen el dispositivo y el anfitrión. Dispositivos maliciosos pueden aprovecharse de este este defecto para conectarse a un anfitrión y suplantar a un dispositivo HID existente sin seguridad o para provocar que tenga lugar un descubrimiento de servicio SDP o GATT, lo que permitiría la inyección de informes HID en el subsistema de entrada desde un origen no vinculado.
Para el caso del perfil HID se ha añadido una nueva opción de configuración
(ClassicBondedOnly) para asegurarse de que las conexiones entrantes proceden exclusivamente de
dispositivos vinculados. La opción toma por omisión el valor false
para maximizar la
compatibilidad de los dispositivos.
Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 5.43-2+deb9u2.
Para la distribución «estable» (buster), este problema se ha corregido en la versión 5.50-1.2~deb10u1.
Le recomendamos que actualice los paquetes de bluez.
Para información detallada sobre el estado de seguridad de bluez, consulte su página en el sistema de seguimiento de problemas de seguridad: \ https://security-tracker.debian.org/tracker/bluez