英特尔和联想BMC存在未修补的Lighttpd服务器缺陷
Binarly 的新发现显示,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。
虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补,但由于缺乏 CVE 标识符或建议,这意味着它被 AMI MegaRAC BMC 的开发人员忽视,最终出现在产品中由英特尔和联想提供。
Lighttpd(发音为“Lighty”)是一款开源高性能 Web 服务器软件,专为速度、安全性和灵活性而设计,同时针对高性能环境进行了优化,且不会消耗大量系统资源。
Lighttpd 的静默修复涉及越界读取漏洞,该漏洞可用于泄露敏感数据,例如进程内存地址,从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。
该固件安全公司表示:“缺乏有关安全修复的及时和重要信息,阻碍了固件和软件供应链上这些修复的正确处理。”
缺陷描述如下——
Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题,因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态,不再有资格进行安全更新,从而实际上将其变成了永远的错误。
该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。
Binarly 补充道:“这是某些产品中永远无法修复的另一个漏洞,并将在很长一段时间内给行业带来高影响风险。”
相关阅读
- 为车站打造“智慧大脑”,海信轨道交通亮相第八届中国智慧轨道交通大会
- “致善创新,微笑前行”OPPO 2023年度“微笑提案”中国区路演TOP 5榜单发布
- 这款DVD式光盘可存储200TB的存储空间 足以容纳2000张PS5游戏光盘
- 美商博帝展示Viper PV573 SSD:高达14GB/s,采用鼓风机风扇设计
- 不负热爱与期待,西数助力斜杠青年开启多元人生
- Pure Storage为客户的功耗和机架空间付费 提供零数据丢失保证
- 三星T5 Evo现已上市:具有8TB存储容量的USB SSD
- 小米相机算法在国际顶级学术会议CVPR拿下4个冠军
- 科普:USB的诞生发展史 以及未来USB发展方向
- Sabrent Thunderbolt 3 8TB NVMe SSD降价 售价为748.79美元