Armadilloフォーラム

Armadillo-IoT G3/G3L, Armadillo-X1をご利用のお客様 各位

いつもお世話になっております。
アットマークテクノ 古関です。

Bluetooth の実装における脆弱性 "BlueBorne" に関する情報が、脆弱性の報告者により公開されています。
脆弱性を悪用された場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたりするなどの可能性があります。
対象製品でBluetoothをご利用の場合、下記の対策を行うことを強く推奨いたします。

* BlueZ: CVE-2017-1000250
対策: BlueZパッケージを 5.23-2+deb8u1以降にアップデートする

* Linuxカーネル: CVE-2017-1000251
対策: 添付のパッチをあてたlinux-3.14-x1-at15を使用する

今後の製品アップデートにて標準イメージにも対策を行う予定ですが、
取り急ぎ注意喚起と対策方法の展開をさせていただきます。

よろしくお願いいたします。

----------------------------
対象製品
----------------------------
* Armadillo-IoT G3
* Armadillo-IoT G3L
* Armadillo-X1

----------------------------
対策手順
----------------------------
* BlueZ: CVE-2017-1000250
以下の手順でbluezパッケージを5.23-2+deb8u1以降にアップデートする。

[armadillo]# apt-get update
[armadillo]# apt-get install bluez
[armadillo]# dpkg -l|grep bluez
ii bluez 5.23-2+deb8u1 armhf Bluetooth tools and daemons
※ 5.23-2+deb8u1以降であることを確認

* Linuxカーネル: CVE-2017-1000251
添付のパッチ(blueborne.patch)をあてたカーネルを以下の手順でビルド、uImageをArmadilloに書き込む。

[ATDE]# cd linux-3.14-x1-at15/
※ linux-3.14-x1-at15/ 内に"blueborne.patch"をコピー
[ATDE]# patch -p1 < blueborne.patch
[ATDE]# make ARCH=arm x1_defconfig
[ATDE]# make ARCH=arm CROSS_COMPILE=arm-linux-gnueabihf-
[ATDE]# make ARCH=arm CROSS_COMPILE=arm-linux-gnueabihf- LOADADDR=0x80008000 uImage

----------------------------
参考情報
----------------------------
* JPCERT/CC Alert: Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170037.html

* Debian Security Tracker: CVE-2017-1000250
https://security-tracker.debian.org/tracker/CVE-2017-1000250

* Debian Security Tracker: CVE-2017-1000251
https://security-tracker.debian.org/tracker/CVE-2017-1000251