パスワードを忘れた? アカウント作成
Close
13574823 story
バグ

脆弱性公表をきっかけにbeepパッケージの不要論が出る 14

ストーリー by hylom
そんなコマンドあったなあ 部門より
headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。

この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

関連リンク

前のストーリー: 子供がプールに入るのを監視する「ドルフィン・アラーム」

Spectre/Meltdownに便乗した偽パッチ、ドイツ・情報セキュリティ局の偽サイトで配布される

ThinkPad新モデルはエラーの発生時に鳴る音をスマホアプリに聞かせると問題点を確認できる

LEDやビープ音でSOSを

脆弱性公表をきっかけにbeepパッケージの不要論が出る More | Reply

  • 単純に廃止するのではなく、よりセキュアで現在のハードウェアに合わせた代替品を用意するのはどうでしょう。
    名称は「beep-megadrive」とかで

    --
    うじゃうじゃ
    ここに返信
    シェア

    • Re:beepの後継 (スコア:1)

      by nekopon (1483) on 2018年04月13日 13時48分 (#3392829) 日記
      これ [engadget.com]ですか > 現在のハードウェア

    • Re: (スコア:0)

      by Anonymous Coward

      バグ取るならベーぷだと思う

    • Re: (スコア:0)

      by Anonymous Coward

      それなんて既得権益の保護?
      不要だから廃止しようって流れに、それじゃ後継を作ろうって、行政や公共事業でよくあるパターンじゃないですかやだー。

    • Re: (スコア:0)

      by Anonymous Coward

      でもソノシートがCDになったら味気なくて嫌だなぁ(そこじゃない)

    • Re: (スコア:0)

      by Anonymous Coward

      パイロットランプを明滅させる beam でいいっしょ
      スマホカメラで情報取れる程度の短周期な明滅も織り込んでさ

  • ビープ用スピーカー (スコア:0)

    by Anonymous Coward on 2018年04月13日 13時48分 (#3392830)

    意識してないけど、周りのPCはみんなスピーカーついてるな
    本当にビープ用スピーカーのないPCは増えてるの?
    IoTなんかではなく?

    ここに返信
    シェア

    • Re: (スコア:0)

      by Anonymous Coward

      マザーボードから Beep のインターフェース無くなったりはしてないし、自作用だとオンボードで載ってつのも結構ある。
      昔はケースにもBeep用のスピーカも付いてるものが多かったけど、最近はついてないのが多くなってきた感じはする。
      メーカー製のPCとか、ノートPC とか付いてないのが普通になってる気がする。

      Windows 立ち上がってしまうとサウンドでBeep 慣らしちゃうわけだし、自作PCでもじゃないと不要になってきてる気するな。

      • Re: (スコア:0)

        by Anonymous Coward

        自作PCでOSインストールする前に不具合があると、マザーボードのBIOSが出してくれるbeep音(のパターン)が
        唯一の手がかりでした。

        マザーボードから交換したのって、もう5年くらい前になってしまいました。

    • Re: (スコア:0)

      by Anonymous Coward

      手元のデスクトップのうち、DellとNECでビープ音を確認できた。
      echo -e "\a" > /dev/tty1 とか。

    • Re: (スコア:0)

      by Anonymous Coward

      数の話をするならノートパソコンのことだと思うけど、どうなんかね。

      Windowsの64bit版はXPですらbeepが鳴らないって話を聞いたことがある。Windows 10は32bitより64bitの方が多いだろうから、普通のメーカー側が内蔵スピーカーを設置する理由は、bios専用ってことかも。

      https://blogs.msdn.microsoft.com/larryosterman/2010/01/04/whats-up-wit... [microsoft.com]

      • Re: (スコア:0)

        by Anonymous Coward

        それを言うと、Windowsではそれ以前から、そもそもbeepがマザボに付いてる専用スピーカーじゃなくなってたような。

        以前のWindowsだと、

        >「printf '\a'」

        で、サウンドカード経由でWindowsのデフォルトの警告音とかが鳴ってた。
        その後、それも鳴らなくなったように思う。

      • Re: (スコア:0)

        by Anonymous Coward

        Win32APIにはBeepという、音程と音長を指定してブザー音を鳴らすAPIあるんですけど、昨今は無効になってるんですかねえ…。
        ちなみにこのAPI、Windos9xだと指定されたパラメータは無視されて'\a'と同じ音が鳴った記憶。

        • Re: (スコア:0)

          by Anonymous Coward

          リンク先に書いてあるように、Beepの音程はPITのIntel8254が通電をガチャ切りすることで矩形波を作ってるから、何でもソフトゥエアがやるこの時世で考えたら、おそろしく豪華な仕組みなんだよ。だから、MSが徐々に切り離したけど、32bitマシンではまだ付けておかないといけない。この辺も含めてAT互換機ってことだ。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級