l+f: Piep, piep, root
Wenn der Lautsprecher des Linux-Servers piept, hat sich vielleicht gerade jemand unerlaubt Root-Rechte verschafft.
Das Linux-Kommandozeilen-Tool beep weist offenbar ein Sicherheitsproblem auf. Damit es direkt auf den eingebauten Lautsprecher zugreifen kann, installiert es etwa Debian als Setuid-Programm, das beim Start automatisch Root-Rechte bekommt. Das können auf dem System angemeldete Angreifer auf nicht weiter beschriebene Weise ausnutzen, um sich diese ebenfalls zu verschaffen. Ein Sourcecode-Patch, der das entschärft, ist auf Github zu finden; die Distributoren werden wohl bald Updates liefern. Man kann das Tool aber auch einfach deinstallieren.
Ein paar Spaßvögel haben der Sicherheitslücke CVE-2018-0492 prompt den Namen "Holey Beep" gegeben, das oben abgebildete Logo dazu kreiert und natürlich auch gleich eine passende Web-Seite erstellt – ganz im Stil von Heartbleed, Spectre und Meltdown. Der Frage, ob seriöse Sicherheitsforschung ohne solches PR-Getöse nicht besser wäre, stellen sich übrigens auf der heisec-Tour "Wissen schützt" ab nächster Woche auch zwei Sicherheitsforscher, die an der Entdeckung von Spectre und Meltdown mitgewirkt haben.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(ju)
