您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
英特爾和聯(lián)想存在永久的安全漏洞
研究人員發(fā)現(xiàn),英特爾和聯(lián)想等設備供應商仍未修補影響底板管理控制器 ( BMC )中使用的 Lighttpd Web 服務器的安全漏洞。
雖然最初的缺陷早在 2018 年 8 月就被 Lighttpd 維護者在1.4.51 版本中發(fā)現(xiàn)并修補,但由于缺乏 CVE 標識符或建議,這意味著它被 AMI MegaRAC BMC 的開發(fā)人員忽視,最終出現(xiàn)在產(chǎn)品中由英特爾和聯(lián)想提供。
Lighttpd(發(fā)音為“Lighty”)是一款開源高性能 Web 服務器軟件,專為速度、安全性和靈活性而設計,同時針對高性能環(huán)境進行了優(yōu)化,且不會消耗大量系統(tǒng)資源。
Lighttpd 的靜默修復涉及越界讀取漏洞,該漏洞可用于泄露敏感數(shù)據(jù),例如進程內(nèi)存地址,從而允許威脅參與者繞過地址空間布局隨機化 ( ASLR ) 等關鍵安全機制。
該固件安全公司表示:“缺乏有關安全修復的及時和重要信息,阻礙了固件和軟件供應鏈上這些修復的正確處理。”
缺陷描述如下——
?Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界讀取
?Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界讀取
?1.4.51 之前的 Lighttpd 中的越界讀取
英特爾和聯(lián)想選擇不解決該問題,因為包含 Lighttpd 易受影響版本的產(chǎn)品已達到生命周期結(jié)束 (EoL) 狀態(tài),不再有資格進行安全更新,從而實際上將其變成了永遠的錯誤。
該披露強調(diào)了最新版本固件中過時的第三方組件如何穿越供應鏈并給最終用戶帶來意想不到的安全風險。
研究人員補充道:“這是某些產(chǎn)品中永遠無法修復的另一個漏洞,并將在很長一段時間內(nèi)給行業(yè)帶來高影響風險。”
來源:E安全