Father
Professional
- Messages
- 2,602
- Reaction score
- 760
- Points
- 113
Ошибка безопасности, влияющая на веб-сервер Lighttpd, используемый в контроллерах управления плинтусами (BMCs), осталась неисправленной такими производителями устройств, как Intel и Lenovo, свидетельствуют новые данные Binarly.
Хотя первоначальный недостаток был обнаружен и исправлен разработчиками Lighttpd еще в августе 2018 года с версией 1.4.51, отсутствие идентификатора CVE или рекомендации означало, что разработчики AMI MegaRAC BMC не обратили на него внимания, что в конечном итоге привело к появлению продуктов Intel и Lenovo.
Lighttpd (произносится как "Светлый") - это высокопроизводительное программное обеспечение веб-сервера с открытым исходным кодом, разработанное для обеспечения скорости, безопасности и гибкости, оптимизированное для высокопроизводительных сред без потребления большого количества системных ресурсов.
Тихое исправление для Lighttpd касается уязвимости с возможностью чтения за пределами границ, которая может быть использована для удаления конфиденциальных данных, таких как адреса памяти процессов, что позволяет субъектам угрозы обходить важные механизмы безопасности, такие как рандомизация расположения адресного пространства (ASLR).
"Отсутствие оперативной и важной информации об исправлениях системы безопасности препятствует надлежащему использованию этих исправлений как в цепочках прошивки, так и в цепочках поставок программного обеспечения", - заявила компания по обеспечению безопасности прошивки.
Недостатки описаны ниже -
Раскрытие информации показывает, как наличие устаревших компонентов сторонних производителей в последней версии встроенного программного обеспечения может повлиять на цепочку поставок и создать непреднамеренные угрозы безопасности для конечных пользователей.
"Это еще одна уязвимость, которая навсегда останется незафиксированной в некоторых продуктах и будет представлять серьезный риск для отрасли в течение очень долгого времени", - добавили в Binarly.
Хотя первоначальный недостаток был обнаружен и исправлен разработчиками Lighttpd еще в августе 2018 года с версией 1.4.51, отсутствие идентификатора CVE или рекомендации означало, что разработчики AMI MegaRAC BMC не обратили на него внимания, что в конечном итоге привело к появлению продуктов Intel и Lenovo.
Lighttpd (произносится как "Светлый") - это высокопроизводительное программное обеспечение веб-сервера с открытым исходным кодом, разработанное для обеспечения скорости, безопасности и гибкости, оптимизированное для высокопроизводительных сред без потребления большого количества системных ресурсов.
Тихое исправление для Lighttpd касается уязвимости с возможностью чтения за пределами границ, которая может быть использована для удаления конфиденциальных данных, таких как адреса памяти процессов, что позволяет субъектам угрозы обходить важные механизмы безопасности, такие как рандомизация расположения адресного пространства (ASLR).
"Отсутствие оперативной и важной информации об исправлениях системы безопасности препятствует надлежащему использованию этих исправлений как в цепочках прошивки, так и в цепочках поставок программного обеспечения", - заявила компания по обеспечению безопасности прошивки.
Недостатки описаны ниже -
- Значение, выходящее за рамки, указано в Lighttpd 1.4.45, используется в микропрограммном обеспечении Intel серии M70KLP
- Недоступно для чтения в Lighttpd 1.4.35, используемое в прошивке Lenovo BMC
- Недоступно для чтения в Lighttpd до версии 1.4.51
Раскрытие информации показывает, как наличие устаревших компонентов сторонних производителей в последней версии встроенного программного обеспечения может повлиять на цепочку поставок и создать непреднамеренные угрозы безопасности для конечных пользователей.
"Это еще одна уязвимость, которая навсегда останется незафиксированной в некоторых продуктах и будет представлять серьезный риск для отрасли в течение очень долгого времени", - добавили в Binarly.
