英特爾和聯想底闆管理控制器(BMC)存在未修補的 Lighttpd Web服務器漏洞

發布日期:2024-04-19首頁 > 安全資(zī)訊

      Binarly 的新發現顯示,英特爾和聯想等設備供應商(shāng)仍未修補影響底闆管理控制器 ( BMC )中(zhōng)使用的 Lighttpd Web 服務器的安全漏洞。

雖然最初的缺陷早在 2018 8 月就被 Lighttpd 維護者在1.4.51 版本中(zhōng)發現并修補,但由于缺乏 CVE 标識符或建議,這意味着它被 AMI MegaRAC BMC 的開(kāi)發人員(yuán)忽視,最終出現在産品中(zhōng)由英特爾和聯想提供。

Lighttpd(發音爲“Lighty”)是一(yī)款開(kāi)源高性能 Web 服務器軟件,專爲速度、安全性和靈活性而設計,同時針對高性能環境進行了優化,且不會消耗大(dà)量系統資(zī)源。

Lighttpd 的靜默修複涉及越界讀取漏洞,該漏洞可用于洩露敏感數據,例如進程内存地址,從而允許威脅參與者繞過地址空間布局随機化 ( ASLR ) 等關鍵安全機制。

該固件安全公司表示:“缺乏有關安全修複的及時和重要信息,阻礙了固件和軟件供應鏈上這些修複的正确處理。”

缺陷描述如下(xià)——

Intel M70KLP 系列固件中(zhōng)使用的 Lighttpd 1.4.45 中(zhōng)的越界讀取

Lenovo BMC 固件中(zhōng)使用的 Lighttpd 1.4.35 中(zhōng)的越界讀取

1.4.51 之前的 Lighttpd 中(zhōng)的越界讀取

英特爾和聯想選擇不解決該問題,因爲包含 Lighttpd 易受影響版本的産品已達到生(shēng)命周期結束 (EoL) 狀态,不再有資(zī)格進行安全更新,從而實際上将其變成了永遠的錯誤。

該披露強調了最新版本固件中(zhōng)過時的第三方組件如何穿越供應鏈并給最終用戶帶來意想不到的安全風險。

Binarly 補充道:“這是某些産品中(zhōng)永遠無法修複的另一(yī)個漏洞,并将在很長一(yī)段時間内給行業帶來高影響風險。”

 

 

 

轉載自安全客