Търсене
Close this search box.

BMC на Intel и Lenovo съдържат непоправен недостатък в Lighttpd Server

Нови открития на Binarly показват, че пропуск в сигурността, засягащ уеб сървъра Lighttpd, използван в контролерите за управление на базови платки (BMC), е останал непоправен от производители на устройства като Intel и Lenovo.

Въпреки че първоначалният недостатък е открит и поправен от поддържащите Lighttpd още през август 2018 г. с версия 1.4.51, липсата на CVE идентификатор или консултация означава, че той е бил пренебрегнат от разработчиците на AMI MegaRAC BMC, като в крайна сметка е попаднал в продукти, произведени от Intel и Lenovo.

Lighttpd (произнася се „Lighty“) е високопроизводителен уеб сървърен софтуер с отворен код, проектиран за скорост, сигурност и гъвкавост, като същевременно е оптимизиран за високопроизводителни среди, без да консумира много системни ресурси.

Безшумната поправка за Lighttpd се отнася до уязвимост при четене извън границите, която може да бъде използвана за екфилтриране на чувствителни данни, като например адреси на паметта на процеса, като по този начин позволява на участниците в заплахи да заобиколят важни механизми за сигурност, като например рандомизация на разположението на адресното пространство (ASLR).

„Липсата на бърза и важна информация за поправките на сигурността възпрепятства правилното обработване на тези поправки както по веригите за доставка на фърмуер, така и по веригите за доставка на софтуер“, заявиха от компанията за сигурност на фърмуера.

Грешките са описани по-долу –

  • Четене извън границите в Lighttpd 1.4.45, използван във фърмуера на Intel M70KLP
  • Четене извън границите в Lighttpd 1.4.35, използван във фърмуера на Lenovo BMC
  • Четене извън границите в Lighttpd преди 1.4.51

Intel и Lenovo са решили да не се занимават с проблема, тъй като продуктите, включващи уязвимата версия на Lighttpd, са достигнали статут на изчерпани и вече не отговарят на изискванията за актуализации на сигурността, което на практика го превръща във вечен бъг.

Intel and Lenovo BMCs
Разкритието подчертава как наличието на остарели компоненти на трети страни в последната версия на фърмуера може да премине през веригата на доставки и да създаде непредвидени рискове за сигурността на крайните потребители.

„Това е още една уязвимост, която ще остане завинаги непоправена в някои продукти и ще представлява риск с голямо въздействие за индустрията за много дълго време“, добави Бинарли.

 

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
11/06/2024

Нова уязвимост на PHP излаг...

Появиха се подробности за нов критичен...
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
22/05/2024

Новият Windows 11 Recall на...

Обявяването от Microsoft на новата функция...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!