研究人員發(fā)現(xiàn)，英特爾和聯(lián)想等設(shè)備供應(yīng)商仍未修補影響底板管理控制器 ( BMC )中使用的 Lighttpd Web 服務(wù)器的安全漏洞。

雖然最初的缺陷早在 2018 年 8 月就被 Lighttpd 維護者在1.4.51 版本中發(fā)現(xiàn)并修補，但由于缺乏 CVE 標(biāo)識符或建議，這意味著它被 AMI MegaRAC BMC 的開發(fā)人員忽視，最終出現(xiàn)在產(chǎn)品中由英特爾和聯(lián)想提供。

Lighttpd(發(fā)音為“Lighty”)是一款開源高性能 Web 服務(wù)器軟件，專為速度、安全性和靈活性而設(shè)計，同時針對高性能環(huán)境進行了優(yōu)化，且不會消耗大量系統(tǒng)資源。

Lighttpd 的靜默修復(fù)涉及越界讀取漏洞，該漏洞可用于泄露敏感數(shù)據(jù)，例如進程內(nèi)存地址，從而允許威脅參與者繞過地址空間布局隨機化 ( ASLR ) 等關(guān)鍵安全機制。

該固件安全公司表示：“缺乏有關(guān)安全修復(fù)的及時和重要信息，阻礙了固件和軟件供應(yīng)鏈上這些修復(fù)的正確處理?！?/span>

缺陷描述如下——

?Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界讀取

?Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界讀取

?1.4.51 之前的 Lighttpd 中的越界讀取

英特爾和聯(lián)想選擇不解決該問題，因為包含 Lighttpd 易受影響版本的產(chǎn)品已達到生命周期結(jié)束 (EoL) 狀態(tài)，不再有資格進行安全更新，從而實際上將其變成了永遠的錯誤。

該披露強調(diào)了最新版本固件中過時的第三方組件如何穿越供應(yīng)鏈并給最終用戶帶來意想不到的安全風(fēng)險。

研究人員補充道：“這是某些產(chǎn)品中永遠無法修復(fù)的另一個漏洞，并將在很長一段時間內(nèi)給行業(yè)帶來高影響風(fēng)險?！?/span>

來源：E安全