久久人搡人人玩人妻精品首页,国产激情艳情在线看视频,久久午夜无码鲁丝片午夜精品,久久婷婷五月综合色欧美

 安全公告編號(hào):CNTA-2023-0020

2023年12月20日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了藍(lán)牙協(xié)議中間人攻擊漏洞（CNVD-2023-98846，對(duì)應(yīng)CVE-2023-24023）。攻擊者利用漏洞通過欺騙性的配對(duì)或綁定設(shè)備強(qiáng)制使用較短的加密密鑰長度，破壞藍(lán)牙設(shè)備會(huì)話的安全驗(yàn)證機(jī)制。目前，漏洞技術(shù)原理已公開，CNVD建議受漏洞影響的設(shè)備廠商和用戶加強(qiáng)安全防范措施。

一、漏洞情況分析

藍(lán)牙（Bluetooth）是一種支持設(shè)備短距離通信的無線電通信協(xié)議，目前已成為全球通用的開放性技術(shù)規(guī)范，廣泛應(yīng)用于個(gè)人終端、車載娛樂、工業(yè)生產(chǎn)和醫(yī)藥醫(yī)療領(lǐng)域。藍(lán)牙設(shè)備的有效傳輸距離一般小于10米，其通信質(zhì)量易受障礙物的影響。

法國 EURECOM 安全研究員兼助理教授Daniele Antonioli發(fā)現(xiàn)了藍(lán)牙BR/EDR設(shè)備的安全連接配對(duì)和安全簡單配對(duì)的核心規(guī)范存在安全漏洞。位于目標(biāo)設(shè)備有效藍(lán)牙傳輸距離內(nèi)的攻擊者利用上述漏洞，通過捕獲和偽造藍(lán)牙會(huì)話數(shù)據(jù)包，可對(duì)目標(biāo)會(huì)話發(fā)起中間人攻擊（BLUFFS）。BLUFFS攻擊能夠破壞藍(lán)牙配對(duì)設(shè)備的會(huì)話身份驗(yàn)證機(jī)制，通過使用欺騙性的配對(duì)或綁定設(shè)備強(qiáng)制使用較短的加密密鑰長度，繼而破壞藍(lán)牙通信會(huì)話的保密性和完整性。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“中危”。

二、漏洞影響范圍

該漏洞影響的產(chǎn)品和版本為：

藍(lán)牙協(xié)議核心規(guī)范，版本范圍為4.2（2014年12月發(fā)布）至5.4（2023年2月發(fā)布）。

三、漏洞處置建議

目前，負(fù)責(zé)藍(lán)牙標(biāo)準(zhǔn)開發(fā)和技術(shù)許可的藍(lán)牙技術(shù)聯(lián)盟（SIG，Special Interest Group）已發(fā)布安全防范措施。CNVD建議藍(lán)牙設(shè)備廠商將藍(lán)牙設(shè)備的默認(rèn)設(shè)置修改為安全連接模式，以確保密鑰強(qiáng)度；建議藍(lán)牙設(shè)備用戶加強(qiáng)安全防范措施，開啟藍(lán)牙連接時(shí)注意周圍的可疑設(shè)備，同時(shí)使用不小于7個(gè)字節(jié)長度的藍(lán)牙通信密鑰。

                                                                                                                                                                           參考鏈接：

https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/bluffs-vulnerability/