圖片來源: 

Debian與Ubuntu兩大Linux版本於上周相繼釋出更新,以修補所內建Beep套件的權限擴張漏洞。

Beep套件的功能很簡單,就是讓作業系統在必要的時候發出嗶嗶聲,且完全透過命令列控制。安全研究人員發現,在設定setuid權限後,Beep套件就會產生競爭條件,進而允許本地權限擴張,可讓駭客取得系統的最高權限,探查、開啟或竄改系統上的任何檔案,從舊版到最新的1.3.4版本都受到波及,該漏洞編號為CVE-2018-0492,亦被稱為Holey Beep漏洞。

根據估計,全球有1.86%裝置安裝了Beep套件,因此可能有超過1300萬用戶受到此一漏洞的影響。此外,相關的攻擊程式不但已於網路上流傳,也有人在YouTube上張貼了攻擊步驟。

研究人員建議Beep套件用戶應儘速更新,否則就得特別留心裝置所發出的嗶嗶聲,因為受到攻擊時的聲音與正常裝置所發出的聲音是不同的。

Beep套件本身已年久失修,至於Debian與Ubuntu則是藉由版本更新修補了Beep漏洞。


Advertisement

更多 iThome相關內容