This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[FAQ] [参考译文] [常见问题解答]低功耗蓝牙–意外的公共密钥崩溃(SweynTooth)

Guru**** 1090800 points
Other Parts Discussed in Thread: BLE-STACK, CC1350, CC2650, CC2640
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/bluetooth-group/bluetooth/f/bluetooth-forum/881879/faq-bluetooth-low-energy-unexpected-public-key-crash-sweyntooth

Thread 中讨论的其他器件:BLE-STACKCC1350CC2650CC2640

作为 TI 产品安全事件响应团队(PSIRT) 流程的一部分、我们谨通知您 SweynTooth 漏洞中提到的意外公共密钥崩溃的潜在漏洞。

CVEID:CVE-2019-17520

总结

我们的 SimpleLinkTmSDK 中的低功耗蓝牙外设实现即使在使用旧配对过程时也能接收安全管理器协议(SMP)公钥数据包。 这可能允许无线电范围内的攻击者通过特制数据包使设备崩溃、从而导致拒绝服务。

当配置为外设角色的低功耗蓝牙器件执行传统配对过程时、在 SMP 配对过程开始之前发送 SMP 公钥数据包可能会导致器件硬故障。 如果在应用中未正确处理此行为、器件可能会进入死锁状态、从而导致拒绝服务。

CVSS 基础分数:5.7

CVSS 矢量: https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

受影响的产品

以下是受影响的低功耗蓝牙 SDK 的列表:

  • CC2640R2 SDK、BLE-STACK (SDK v3.30.00.20及更早版本)
  • CC2640R2 SDK、BLE5-STACK (SDK v3.30.00.20及更早版本)
  • CC13X2-26X2-SDK、BLE5-STACK (SDK v3.30.00.03及更早版本)
  • CC1350 SDK、BLE-STACK (SDK v3.20.xx 和更早版本)
  • CC26x0 BLE-STACK (BLE-STACK v2.2.0、v2.2.1、v2.2.2和 v2.2.3)

受影响的功能

此潜在漏洞可能会影响运行受影响 SDK 版本的低功耗蓝牙器件、这些 SDK 版本已将器件配置为低功耗蓝牙外设、并启用了传统配对过程。

建议的缓解措施

以下服务包版本解决了潜在漏洞:

受影响的 SDK

具有缓解措施的 SDK 版本

具有缓解措施的 SDK 版本

CC2640R2 SDK、BLE-STACK

SDK v3.40.00.10 、网址 为 http://software-dl.ti.com/simplelink/esd/simplelink_cc2640r2_sdk/3.40.00.10/exports/release_notes_simplelink_cc2640r2_sdk_3_40_00_10.html

2020年1月10日

CC2640R2 SDK、BLE5-STACK

CC13X2-26X2-SDK、BLE5-STACK

SDK v3.40.00.02,网址 为 http://software-dl.ti.com/simplelink/esd/simplelink_cc13x2_26x2_sdk/3.40.00.02/exports/docs/Documentation_Overview.html

2019年12月20日  

CC13x0 SDK、BLE-STACK

SDK v4.10.xx、网址 为 http://www.ti.com/tool/SIMPLELINK-CC13X0-SDK

2020年3月20日

BLE-STACK (支持 CC2640/CC2650)

BLE-STACK v2.2.4的链接、网址 为 http://www.ti.com/tool/BLE-STACK

2020年3月16日  

[1]考虑在相应的 SDK 下载链接上订阅“通知我”,以获得有关新 SDK 版本的通知。

外部基准

免责声明

TI 提供此信息,包括 CVSS (常见漏洞评分系统)分数、“原样”和所有缺陷,并否认所有明示或暗示的担保,包括但不限于对适销性、在特定用途方面的适用性或不侵犯第三方知识产权的任何暗示担保。 CVSS 分数由 CVSS 3.0计算器计算得出、并基于 TI 可用信息和 TI 估算值。

此资源适用于使用 TI 产品进行设计的熟练开发人员。 您将自行负责:(1)为您的应用选择合适的 TI 产品、(2)设计、验证和测试您的应用、(3)确保您的应用满足适用标准以及任何其他安全、安保或其他要求。 此资源如有变更、恕不另行通知。 TI 授权您仅将此资源用于开发资源中所述的使用 TI 产品的应用。 禁止对这些资源进行其他复制和展示。 未授予任何其他 TI 知识产权或任何第三方知识产权的许可。 TI 对 TI 及其代表的任何索赔、损害、成本、损失、 使用这些资源而产生的责任。

TI 提供的产品受 TI 销售条款(www.ti.com/legal/termsofsale.html)或 TI.com 上其他适用条款或与此类 TI 产品一起提供的其他适用条款的约束。 TI 提供此资源并不会扩展或以其他方式更改 TI 针对 TI 产品的适用担保或担保免责声明。

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    将 CC26x0器件的受影响 BLE_STACK SDK 版本的范围更新为仅支持 LE 安全连接配对功能的版本。