US-CERT emite alerta sobre vulnerabilidade em Bluetooth e divulga atualização do Apache Tomcat

US-CERT (United States Computer Emergency Readiness Team), organização  responsável por proteger a infra-estrutura da Internet norte americana, compilou um  alerta  sobre uma vulnerabilidade em Bluetooth. Além disso,  divulgou uma nota sobre a atualização do Apache Tomcat.

A vulnerabilidade encontrada no Bluetooth é consequência do fato de que muitas implementações de firmware e drivers não realizam uma adequada validação dos parâmetros de domínio do protocolo elliptic-curve Diffie-Hellman utilizado. Isso permite que um atacante envie uma chave pública inválida e seja capaz de determinar, com alta probabilidade, a chave de sessão utilizada pelo dispositivo. Como consequência, um atacante não-autenticado dentro do alcance do dispositivo pode ser capaz de utilizar um man-in-the-middle para determinar as chaves criptográficas usadas pelo dispositivo, passando a ser capaz de interceptar, adulterar e forjar mensagens. O US-CERT comentou que uma atualização que corrija essa vulnerabilidade estará disponível dentro de algumas semanas.

Sobre o Apache Tomcat. A Apache Software Foundation lançou uma série atualizações de segurança para solucionar vulnerabilidades nas versões 9.0.0.M9 a 9.0.9, 8.5.0 a 8.5.31, 8.0.0.RC1 a 8.0.51 e 7.0.28 a 7.0. Anteriormente, um atacante remoto podia explorar uma dessas vulnerabilidades para obter informações confidenciais.

Para mais informações sobre o alerta do Bluetooth, clique aqui.
Para mais informações sobre a nota atualização do Apache Tomcat, clique aqui.