Търсене
Close this search box.

Нови открития на Binarly показват, че пропуск в сигурността, засягащ уеб сървъра Lighttpd, използван в контролерите за управление на базови платки (BMC), е останал непоправен от производители на устройства като Intel и Lenovo.

Въпреки че първоначалният недостатък е открит и поправен от поддържащите Lighttpd още през август 2018 г. с версия 1.4.51, липсата на CVE идентификатор или консултация означава, че той е бил пренебрегнат от разработчиците на AMI MegaRAC BMC, като в крайна сметка е попаднал в продукти, произведени от Intel и Lenovo.

Lighttpd (произнася се „Lighty“) е високопроизводителен уеб сървърен софтуер с отворен код, проектиран за скорост, сигурност и гъвкавост, като същевременно е оптимизиран за високопроизводителни среди, без да консумира много системни ресурси.

Безшумната поправка за Lighttpd се отнася до уязвимост при четене извън границите, която може да бъде използвана за екфилтриране на чувствителни данни, като например адреси на паметта на процеса, като по този начин позволява на участниците в заплахи да заобиколят важни механизми за сигурност, като например рандомизация на разположението на адресното пространство (ASLR).

„Липсата на бърза и важна информация за поправките на сигурността възпрепятства правилното обработване на тези поправки както по веригите за доставка на фърмуер, така и по веригите за доставка на софтуер“, заявиха от компанията за сигурност на фърмуера.

Грешките са описани по-долу –

  • Четене извън границите в Lighttpd 1.4.45, използван във фърмуера на Intel M70KLP
  • Четене извън границите в Lighttpd 1.4.35, използван във фърмуера на Lenovo BMC
  • Четене извън границите в Lighttpd преди 1.4.51

Intel и Lenovo са решили да не се занимават с проблема, тъй като продуктите, включващи уязвимата версия на Lighttpd, са достигнали статут на изчерпани и вече не отговарят на изискванията за актуализации на сигурността, което на практика го превръща във вечен бъг.

Intel and Lenovo BMCs
Разкритието подчертава как наличието на остарели компоненти на трети страни в последната версия на фърмуера може да премине през веригата на доставки и да създаде непредвидени рискове за сигурността на крайните потребители.

„Това е още една уязвимост, която ще остане завинаги непоправена в някои продукти и ще представлява риск с голямо въздействие за индустрията за много дълго време“, добави Бинарли.

 

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!