パスワードを忘れた? アカウント作成
13574823 story
バグ

脆弱性公表をきっかけにbeepパッケージの不要論が出る 29

ストーリー by hylom
そんなコマンドあったなあ 部門より
headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。

この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by albireo (7374) on 2018年04月13日 13時15分 (#3392804) 日記

    単純に廃止するのではなく、よりセキュアで現在のハードウェアに合わせた代替品を用意するのはどうでしょう。
    名称は「beep-megadrive」とかで

    --
    うじゃうじゃ
  • by Anonymous Coward on 2018年04月13日 13時48分 (#3392830)

    意識してないけど、周りのPCはみんなスピーカーついてるな
    本当にビープ用スピーカーのないPCは増えてるの?
    IoTなんかではなく?

    • by Anonymous Coward

      マザーボードから Beep のインターフェース無くなったりはしてないし、自作用だとオンボードで載ってつのも結構ある。
      昔はケースにもBeep用のスピーカも付いてるものが多かったけど、最近はついてないのが多くなってきた感じはする。
      メーカー製のPCとか、ノートPC とか付いてないのが普通になってる気がする。

      Windows 立ち上がってしまうとサウンドでBeep 慣らしちゃうわけだし、自作PCでもじゃないと不要になってきてる気するな。

      • 自作PCの場合はオンボードのLEDでPOSTコード(hex2桁)が表示されるケースが普通ですので、beep音はもう完全に廃れましたね。起動しない原因がbeep音より分かりやすくなりました。

        --
        ほえほえ
        親コメント
      • by Anonymous Coward

        自作PCでOSインストールする前に不具合があると、マザーボードのBIOSが出してくれるbeep音(のパターン)が
        唯一の手がかりでした。

        マザーボードから交換したのって、もう5年くらい前になってしまいました。

    • by Anonymous Coward

      手元のデスクトップのうち、DellとNECでビープ音を確認できた。
      echo -e "\a" > /dev/tty1 とか。

    • by Anonymous Coward

      数の話をするならノートパソコンのことだと思うけど、どうなんかね。

      Windowsの64bit版はXPですらbeepが鳴らないって話を聞いたことがある。Windows 10は32bitより64bitの方が多いだろうから、普通のメーカー側が内蔵スピーカーを設置する理由は、bios専用ってことかも。

      https://blogs.msdn.microsoft.com/larryosterman/2010/01/04/whats-up-wit... [microsoft.com]

      • by Anonymous Coward

        それを言うと、Windowsではそれ以前から、そもそもbeepがマザボに付いてる専用スピーカーじゃなくなってたような。

        以前のWindowsだと、

        >「printf '\a'」

        で、サウンドカード経由でWindowsのデフォルトの警告音とかが鳴ってた。
        その後、それも鳴らなくなったように思う。

        • by Anonymous Coward

          Windows7(64bit)の場合、コマンドラインで
          >echo ^G
          とするとスピーカーからポという音が出るよ
          (【^G】は ctrl-g )

          • by Anonymous Coward

            Windows10(64bit)だと「Windows Foreground.wav」の音(若干濁った「ぴんぽん」っぽい音)が出た。

          • by Anonymous Coward

            なるほど。出ました。出なくなったと思っていたのは、何を勘違いしてたんだろう…。

            • by Anonymous Coward

              単にWindowsの音量調節絞ってたとか.......
              それを考えると、音を切れない/音量調節出来ないbeep専用スピーカーの存在意義もあるんだなぁ
              (ユーザーに対する警報が聞こえなくなるのはよろしくない)

      • by Anonymous Coward

        Win32APIにはBeepという、音程と音長を指定してブザー音を鳴らすAPIあるんですけど、昨今は無効になってるんですかねえ…。
        ちなみにこのAPI、Windos9xだと指定されたパラメータは無視されて'\a'と同じ音が鳴った記憶。

        • by Anonymous Coward

          リンク先に書いてあるように、Beepの音程はPITのIntel8254が通電をガチャ切りすることで矩形波を作ってるから、何でもソフトゥエアがやるこの時世で考えたら、おそろしく豪華な仕組みなんだよ。だから、MSが徐々に切り離したけど、32bitマシンではまだ付けておかないといけない。この辺も含めてAT互換機ってことだ。

          • by Anonymous Coward

            Beep音だけにしか使えないタイマーっていう意味で豪華だけど、
            CPU能力がかなり上がってるけどタイマー割り込み等ソフトウェアで、ON/OFFしたらBeep音が濁るよ(ふらつきが出てしまうため)

        • by Anonymous Coward

          それのラッパっぽい.NETにあるConsole.BeepはXP上で謳い文句通りに動作した記憶
          Vistaからサウンドカード経由のまがい物になってがっかりした

        • by Anonymous Coward

          ちなみにこのAPI、Windos9xだと指定されたパラメータは無視されて'\a'と同じ音が鳴った記憶。

          そうですね。MSDNライブラリにもパラメータが効かない旨の記載があります。

          https://msdn.microsoft.com/ja-jp/library/cc428923.aspx [microsoft.com]

  • > 周波数や長さなどの指定はできないものの

    Linux consoleなら,エスケープシーケンスで音程や長さも指定できる
    http://archive.linux.or.jp/JF/JFdocs/Visual-Bell/pre-console.html [linux.or.jp]

    • by Anonymous Coward

      シングルトラックMMLを演奏するかもしれないシェルスクリプト書いたこと有るけど、
      PC本体のビープはどうあがいても権限やら何やらめんどくさかったようなうろ覚え。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...