beepパッケージに不要論 脆弱性公表きっかけに

2018年4月14日 18:30

headless曰く、 Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。

 この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

 Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

 これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

関連記事

最新記事