Debian与Ubuntu相继修补年久失修的Beep套件 影响超过1300万用户

Debian与Ubuntu两大Linux版本于上周相继发布更新,以修补所内置Beep套件的权限扩张漏洞。

Beep套件的功能很简单,就是让操作系统在必要的时候发出哔哔声,且完全通过命令行控制。安全研究人员发现,在设置setuid权限后,Beep套件就会产生竞争条件,进而允许本地权限扩张,可让黑客取得系统的最高权限,探查、打开或篡改系统上的任何文件,从旧版到最新的1.3.4版本都受到波及,该漏洞编号为CVE-2018-0492,也被称为Holey Beep漏洞。

根据估计,全球有1.86%设备安装了Beep套件,因此可能有超过1300万用户受到该漏洞的影响。此外,相关的攻击程序不但已于网络上流传,也有人在YouTube上发布了攻击步骤。

研究人员建议Beep套件用户应尽速更新,否则就得特别留心设备所发出的哔哔声,因为受到攻击时的声音与正常设备所发出的声音是不同的。

Beep套件本身已年久失修,至于Debian与Ubuntu则是借由版本更新修补了Beep漏洞。