Debian與Ubuntu相繼修補Beep套件的權限擴張漏洞

Debian與Ubuntu兩大Linux版本於上周相繼釋出更新，以修補所內建Beep套件的權限擴張漏洞。

Beep套件的功能很簡單，就是讓作業系統在必要的時候發出嗶嗶聲，且完全透過命令列控制。安全研究人員發現，在設定setuid權限後，Beep套件就會產生競爭條件，進而允許本地權限擴張，可讓駭客取得系統的最高權限，探查、開啟或竄改系統上的任何檔案，從舊版到最新的1.3.4版本都受到波及，該漏洞編號為CVE-2018-0492，亦被稱為Holey Beep漏洞。

根據估計，全球有1.86%裝置安裝了Beep套件，因此可能有超過1300萬用戶受到此一漏洞的影響。此外，相關的攻擊程式不但已於網路上流傳，也有人在YouTube上張貼了攻擊步驟。

研究人員建議Beep套件用戶應儘速更新，否則就得特別留心裝置所發出的嗶嗶聲，因為受到攻擊時的聲音與正常裝置所發出的聲音是不同的。

Beep套件本身已年久失修，至於Debian與Ubuntu則是藉由版本更新修補了Beep漏洞。