beepパッケージに不要論　脆弱性公表きっかけに

headless曰く、　Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった（Register）。

　この脆弱性（CVE-2018-0492）はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

　Debianでは1.3-3+deb7u1（Wheezy）/1.3-3+deb8u1（Jessie）/1.3-4+deb9u1（Stretch）で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

　これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

　スラドのコメントを読む | セキュリティセクション | Linux | オープンソース | セキュリティ | バグ

　関連ストーリー：
Spectre/Meltdownに便乗した偽パッチ、ドイツ・情報セキュリティ局の偽サイトで配布される 2018年01月17日
ThinkPad新モデルはエラーの発生時に鳴る音をスマホアプリに聞かせると問題点を確認できる 2017年02月09日
LEDやビープ音でSOSを 2003年02月04日