BMC на Intel и Lenovo съдържат непоправен недостатък в Lighttpd Server

Picture of e-security.bg
e-security.bg
Уязвимости

Нови открития на Binarly показват, че пропуск в сигурността, засягащ уеб сървъра Lighttpd, използван в контролерите за управление на базови платки (BMC), е останал непоправен от производители на устройства като Intel и Lenovo.

Въпреки че първоначалният недостатък е открит и поправен от поддържащите Lighttpd още през август 2018 г. с версия 1.4.51, липсата на CVE идентификатор или консултация означава, че той е бил пренебрегнат от разработчиците на AMI MegaRAC BMC, като в крайна сметка е попаднал в продукти, произведени от Intel и Lenovo.

Lighttpd (произнася се „Lighty“) е високопроизводителен уеб сървърен софтуер с отворен код, проектиран за скорост, сигурност и гъвкавост, като същевременно е оптимизиран за високопроизводителни среди, без да консумира много системни ресурси.

Безшумната поправка за Lighttpd се отнася до уязвимост при четене извън границите, която може да бъде използвана за екфилтриране на чувствителни данни, като например адреси на паметта на процеса, като по този начин позволява на участниците в заплахи да заобиколят важни механизми за сигурност, като например рандомизация на разположението на адресното пространство (ASLR).

„Липсата на бърза и важна информация за поправките на сигурността възпрепятства правилното обработване на тези поправки както по веригите за доставка на фърмуер, така и по веригите за доставка на софтуер“, заявиха от компанията за сигурност на фърмуера.

Грешките са описани по-долу –

  • Четене извън границите в Lighttpd 1.4.45, използван във фърмуера на Intel M70KLP
  • Четене извън границите в Lighttpd 1.4.35, използван във фърмуера на Lenovo BMC
  • Четене извън границите в Lighttpd преди 1.4.51

Intel и Lenovo са решили да не се занимават с проблема, тъй като продуктите, включващи уязвимата версия на Lighttpd, са достигнали статут на изчерпани и вече не отговарят на изискванията за актуализации на сигурността, което на практика го превръща във вечен бъг.

Intel and Lenovo BMCs
Разкритието подчертава как наличието на остарели компоненти на трети страни в последната версия на фърмуера може да премине през веригата на доставки и да създаде непредвидени рискове за сигурността на крайните потребители.

„Това е още една уязвимост, която ще остане завинаги непоправена в някои продукти и ще представлява риск с голямо въздействие за индустрията за много дълго време“, добави Бинарли.

 

#бъгове
The Hacker News

Подобни

Apple коригира zero-day уязвимост в dyld
12.02.2026
apple-7446229_640
Критична уязвимост в AI-Notepad за Windows 11
11.02.2026
block-4914911_640
Microsoft разследва срив, блокиращ достъпа до Microsoft 365 Admin Center
11.02.2026
Microsoft-Office-365
Microsoft пусна Windows 11 KB5077181 и KB5075941
11.02.2026
windows-11-6377156_1280
Microsoft пусна Windows 10 KB5075912 с критични корекции
11.02.2026
windows-10-1535765_1280
Microsoft разследва сериозен инцидент в Exchange Online
10.02.2026
how-to-outlook

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.