您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
英特爾和聯(lián)想存在永久的安全漏洞
研究人員發(fā)現(xiàn),英特爾和聯(lián)想等設(shè)備供應(yīng)商仍未修補(bǔ)影響底板管理控制器 ( BMC )中使用的 Lighttpd Web 服務(wù)器的安全漏洞。
雖然最初的缺陷早在 2018 年 8 月就被 Lighttpd 維護(hù)者在1.4.51 版本中發(fā)現(xiàn)并修補(bǔ),但由于缺乏 CVE 標(biāo)識(shí)符或建議,這意味著它被 AMI MegaRAC BMC 的開發(fā)人員忽視,最終出現(xiàn)在產(chǎn)品中由英特爾和聯(lián)想提供。
Lighttpd(發(fā)音為“Lighty”)是一款開源高性能 Web 服務(wù)器軟件,專為速度、安全性和靈活性而設(shè)計(jì),同時(shí)針對(duì)高性能環(huán)境進(jìn)行了優(yōu)化,且不會(huì)消耗大量系統(tǒng)資源。
Lighttpd 的靜默修復(fù)涉及越界讀取漏洞,該漏洞可用于泄露敏感數(shù)據(jù),例如進(jìn)程內(nèi)存地址,從而允許威脅參與者繞過地址空間布局隨機(jī)化 ( ASLR ) 等關(guān)鍵安全機(jī)制。
該固件安全公司表示:“缺乏有關(guān)安全修復(fù)的及時(shí)和重要信息,阻礙了固件和軟件供應(yīng)鏈上這些修復(fù)的正確處理。”
缺陷描述如下——
?Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界讀取
?Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界讀取
?1.4.51 之前的 Lighttpd 中的越界讀取
英特爾和聯(lián)想選擇不解決該問題,因?yàn)榘?Lighttpd 易受影響版本的產(chǎn)品已達(dá)到生命周期結(jié)束 (EoL) 狀態(tài),不再有資格進(jìn)行安全更新,從而實(shí)際上將其變成了永遠(yuǎn)的錯(cuò)誤。
該披露強(qiáng)調(diào)了最新版本固件中過時(shí)的第三方組件如何穿越供應(yīng)鏈并給最終用戶帶來意想不到的安全風(fēng)險(xiǎn)。
研究人員補(bǔ)充道:“這是某些產(chǎn)品中永遠(yuǎn)無法修復(fù)的另一個(gè)漏洞,并將在很長一段時(shí)間內(nèi)給行業(yè)帶來高影響風(fēng)險(xiǎn)?!?/span>
來源:E安全