安全公告：LEN-27173 蓝牙漏洞的加密密钥协商-联想乐享知识库

安全公告：LEN-27173 蓝牙漏洞的加密密钥协商 分类:ThinkPad T 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-27173 潜在影响：信息泄露、权限提升 严重性：高 影响范围：全行业 CVE ID：CVE-2019-9506 摘要描述： 正如 CERT 协调中心漏洞说明 VU#918987 中所报告的那样，蓝牙 BR/EDR 标准加密密钥协商协议容易受到数据包注入的影响，这可能允许未经身份验证的用户减小加密密钥的熵大小，从而可能导致信息泄露和/或通过相邻访问权限升级。任何使用蓝牙 BR/EDR 的系统或设备都可能受到影响，因为这是一个协议级漏洞。此漏洞被研究人员称为蓝牙密钥协商（KNOB）。解决方案: 应采取哪些措施进行自我保护： 为了保护运行 Windows 的系统，Microsoft 发布了一个软件更新，该更新强制执行默认的 7 个字节的最小密钥长度，以确保密钥协商不会使加密变得无足轻重。安装更新时，默认禁用此功能。要缓解此漏洞的危害，客户必须应用 Microsoft 更新并通过在注册表中设置特定标志来启用更新的功能。查看 Microsoft 的公告，获取完整的缓解指导。 Lenovo 正在努力确定其他系统是否受到影响。如果有新信息，我们将提供更新。 参考资料： CERT/CC 漏洞说明 VU#918987：https://www.kb.cert.org/vuls/id/918987 Microsoft 公告：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9506 蓝牙 SIG 声明：https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/ 修订历史： 修订版本：1 日期：2019-08-13 描述：初始版本 Lenovo 产品安全公告的完整版本，请单击此处。 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。