首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux beep 可能会被丢弃

程序员可能需要重新考虑使用Linux beep命令作为活动或进度警报了。

上周晚些时候,Debian项目负责人克里斯兰姆(Chris Lamb)发布了一项公告,称该小工具存在本地权限升级漏洞。

该实用程序可以让命令行用户控制PC的扬声器,或者 - 更有用 - 程序可以将命令传送到命令行以告诉用户发生了什么事情。

当然,如果他们的机器仍然有一个蜂鸣式扬声器(但这种情况已经越来越少见了),他将会提出为什么会出现这种情况。由于beep默认情况下甚至没有安装,因此不难发现问题。

这个bug出现在holeybeep.ninja/网站上,该网站将bug的消息和试图讽刺品牌的错误信息一起贴在他们的网站上。

但是关于holeybeep.ninja的笑话是大家根据Debian邮件列表中的讨论,提供的站点修复并没能解决所有beep问题。

正如托尼霍伊尔写道:“补丁的脆弱性对我来说似乎更加严重,因为人们始终都在使用补丁(他们不应该以root身份进行补丁)。

德国安全研究人员和记者HannoBöck周日在OSS-sec列表中进一步提出了问题。

Böck列出了一个信息泄露漏洞,其中beep可以“打开任意文件以root身份写入,绕过文件权限”。

Debian的Rhonda D'Vine写道,这揭示了通常对用户隐藏的文件的存在,并且:“如果文件在打开时有副作用,beep允许主叫用户触发这些副作用,即使他们没有被授权这样做。Jakub Wilk指出,命名管道和磁带设备将会受到影响。“

Böck的笔记也与整数溢出相关联,并且该补丁中的一个错误旨在解决原始问题。

因此,Böck写道,beep它可能将被丢弃:它需要一个适当的代码审查,并且不能赋予它太多功能。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/04/09/linux_beep_bug
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券