Linux beep 可能会被丢弃

程序员可能需要重新考虑使用Linux beep命令作为活动或进度警报了。

上周晚些时候，Debian项目负责人克里斯兰姆（Chris Lamb）发布了一项公告，称该小工具存在本地权限升级漏洞。

该实用程序可以让命令行用户控制PC的扬声器，或者 - 更有用 - 程序可以将命令传送到命令行以告诉用户发生了什么事情。

当然，如果他们的机器仍然有一个蜂鸣式扬声器（但这种情况已经越来越少见了），他将会提出为什么会出现这种情况。由于beep默认情况下甚至没有安装，因此不难发现问题。

这个bug出现在holeybeep.ninja/网站上，该网站将bug的消息和试图讽刺品牌的错误信息一起贴在他们的网站上。

但是关于holeybeep.ninja的笑话是大家根据Debian邮件列表中的讨论，提供的站点修复并没能解决所有beep问题。

正如托尼霍伊尔写道：“补丁的脆弱性对我来说似乎更加严重，因为人们始终都在使用补丁（他们不应该以root身份进行补丁）。

德国安全研究人员和记者HannoBöck周日在OSS-sec列表中进一步提出了问题。

Böck列出了一个信息泄露漏洞，其中beep可以“打开任意文件以root身份写入，绕过文件权限”。

Debian的Rhonda D'Vine写道，这揭示了通常对用户隐藏的文件的存在，并且：“如果文件在打开时有副作用，beep允许主叫用户触发这些副作用，即使他们没有被授权这样做。Jakub Wilk指出，命名管道和磁带设备将会受到影响。“

Böck的笔记也与整数溢出相关联，并且该补丁中的一个错误旨在解决原始问题。

因此，Böck写道，beep它可能将被丢弃：它需要一个适当的代码审查，并且不能赋予它太多功能。