Lenovo 安全公告：LEN-22233

潜在影响：信息泄露、权限提升或拒绝服务

严重性：高

影响范围：全行业

CVE ID：CVE-2018-5383

摘要描述：

蓝牙技术联盟（SIG）报告称，标准蓝牙安全简易配对和蓝牙 LE 安全连接配对过程中存在一个漏洞。此漏洞使得位于无线连接范围内的攻击者可在配对过程中获得两台配对设备的中间人位置。

此漏洞仅存在于配对阶段，即两台蓝牙设备首次发现对方并建立持续关系（通常采取设置共享密码的形式）。如果配对期间攻击未成功，则配对后不受该漏洞影响。无论是否应用缓解方案，情况都是如此。

应采取哪些措施进行自我保护：

Lenovo 的蓝牙适配器供应商建议将驱动程序和固件版本更新到“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。

蓝牙 SIG 指出，如果执行配对操作的两台设备中，有任意一台遵循了更正后的标准，则配对过程完全不受此漏洞的影响。

应用建议的缓解方案之前，最好采取以下自我保护措施：尽可能在安全的环境中执行配对操作并遵循典型的最佳实践，尤其不要在拥有大量其他蓝牙设备的公共场所执行配对操作。

产品影响：

请点击查看更多信息

台式机

台式一体机

IdeaPad – 即将更新

ThinkPad

ThinkStation

参考文献：

Bluetooth SIG Security Update: https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update

CERT Vulnerability Note: https://www.kb.cert.org/vuls/id/304725

Intel Security Advisory INTEL-SA-00128: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00128.html