Bezbjednosna greška koja utiče na Lighttpd web server koji se koristi u kontrolerima za upravljanje osnovnom pločom (BMC) ostala je nezakrpljena od strane proizvođača uređaja kao što su Intel i Lenovo, otkrivaju nova otkrića Binarly-ja.
Dok su originalni nedostatak otkrili i zakrpili Lighttpd održavatelji još u avgustu 2018. sa verzijom 1.4.51, nedostatak CVE identifikatora ili savjeta značio je da su ga previdjeli programeri AMI MegaRAC BMC, da bi na kraju završili u proizvodima koje su napravili Intel i Lenovo.
Lighttpd (izgovara se “Lighty”) je open-source softver za web server visokih performansi dizajniran za brzinu, sigurnost i fleksibilnost, a optimizovan za okruženja visokih performansi bez trošenja puno sistemskih resursa.
Tihi popravak za Lighttpd tiče se ranjivosti čitanja izvan granica koja bi se mogla iskoristiti za eksfiltriranje osjetljivih podataka, kao što su adrese procesne memorije, čime se omogućava hakerima da zaobiđu ključne sigurnosne mehanizme kao što je randomizacija adresnog prostora (ASLR).
“Nedostatak brzih i važnih informacija o sigurnosnim popravkama onemogućava pravilno rukovanje ovim popravkama u lancu nabavke firmvera i softvera”, rekla je kompanija za sigurnost firmvera .
Nedostaci su opisani u nastavku
- Čitanje izvan granica u Lighttpd 1.4.45 koji se koristi u firmveru Intel M70KLP serije
- Očitavanje izvan granica u Lighttpd 1.4.35 koji se koristi u firmveru Lenovo BMC
- Izvan granica čitanje u Lighttpd prije 1.4.51
Intel i Lenovo su odlučili da se ne pozabave ovim problemom jer su proizvodi koji uključuju podložnu verziju Lighttpd-a dosegli status na kraju životnog vijeka (EoL) i više ne ispunjavaju uslove za sigurnosna ažuriranja, što ga zapravo pretvara u grešku koja traje zauvijek.
Otkriće naglašava kako prisustvo zastarjelih komponenti treće strane u najnovijoj verziji firmvera može proći kroz lanac nabavke i predstavljati nenamjerne sigurnosne rizike za krajnje korisnike.
“Ovo je još jedna ranjivost koja će zauvijek ostati neispravljena u nekim proizvodima i predstavljat će veliki rizik za industriju još dugo vremena”, dodao je Binarly.
Izvor: The Hacker News
