Menü
Stand:
Security

l+f: Piep, piep, root

Wenn der Lautsprecher des Linux-Servers piept, hat sich vielleicht gerade jemand unerlaubt Root-Rechte verschafft.

vorlesen Drucken Kommentare lesen 53 Beiträge

Das Linux-Kommandozeilen-Tool beep weist offenbar ein Sicherheitsproblem auf. Damit es direkt auf den eingebauten Lautsprecher zugreifen kann, installiert es etwa Debian als Setuid-Programm, das beim Start automatisch Root-Rechte bekommt. Das können auf dem System angemeldete Angreifer auf nicht weiter beschriebene Weise ausnutzen, um sich diese ebenfalls zu verschaffen. Ein Sourcecode-Patch, der das entschärft, ist auf Github zu finden; die Distributoren werden wohl bald Updates liefern. Man kann das Tool aber auch einfach deinstallieren.

Ein paar Spaßvögel haben der Sicherheitslücke CVE-2018-0492 prompt den Namen "Holey Beep" gegeben, das oben abgebildete Logo dazu kreiert und natürlich auch gleich eine passende Web-Seite erstellt – ganz im Stil von Heartbleed, Spectre und Meltdown. Der Frage, ob seriöse Sicherheitsforschung ohne solches PR-Getöse nicht besser wäre, stellen sich übrigens auf der heisec-Tour "Wissen schützt" ab nächster Woche auch zwei Sicherheitsforscher, die an der Entdeckung von Spectre und Meltdown mitgewirkt haben.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

mehr anzeigen

(ju)