Lenovo iyo Intel waxay diideen inay xalliyaan dayacanka 2019 ee kombiyuutarada aan la taageerin

nuglaanta

Haddii laga faa'iidaysto, cilladahan waxay u oggolaan karaan weeraryahannada inay helaan macluumaad xasaasi ah oo aan la fasixin ama guud ahaan dhibaatooyi karaan

ka Cilmi-baarayaasha Binarly Research ayaa shaaca ka qaaday dhawaan, ah ogaanshaha nuglaanta hore ee Lighttpd Kaas oo ku jira aaladaha ay ka midka yihiin AMI BMCs, oo ay ku jiraan alaabada Lenovo iyo Intel. Waxaa lagu xusay in baylahdani oggol yahay weerar aan la hubin meel fog ka akhri nuxurka xusuusta ee habka taageeraya interface interface.

Nuglaanta ayaa ku jirtay firmware-ka tan iyo 2019 waxayna ka timid adeegsiga nooc duug ah oo server-ka Lighttpd HTTP ah, kaas oo ka kooban nuglaanta aan la sixin iyo joogitaankiisu hadda waxay saameeyaan aaladaha server-ka Lenovo iyo Intel.

Ku saabsan dayacanka

Waxaa lagu xusay in darnaanta nuglaanta ay ku jirto xaqiiqda taas Waxay u ogolaataa akhrinta xusuusta ka baxsan kaydka loo qoondeeyay, oo ay sababtay khalad ku jira koodhka isku-darka madaxa HTTP marka la tilmaamayo tusaalooyin badan oo ah madaxa "If-Modified-Since".

Marka la farsameynayo tusaalaha madaxa labaad, Lighttpd wuxuu qoondeeyay kayd cusub si uu u hayo qiimaha la isku daray oo uu sii daayo kaydka ka kooban qiimaha madaxa koowaad. Si kastaba ha ahaatee, codsiga codsiga

Xaaladda way ka sii daraysaa sababtoo ah tilmaamehan waxa loo adeegsaday hawlgalo is barbardhigay waxa ku jira madaxa Haddii-La beddelay-Tan iyo natiijada isbarbardhiggan ayaa saameyn ku yeeshay jiilka koodhadhka soo celinta ee kala duwan. Sidaa darteed, weeraryahanku waxa uu si xoog ah u garan karaa waxa cusub ee xusuusta kaas oo hore u qabsaday kaydkii ugu horeeyay. Nuglaanta waxaa lagu dari karaa kuwa kale si, tusaale ahaan, loo go'aamiyo qaabka xusuusta iyo ka gudubka hababka amniga sida ASLR (Cinwaanka Space Randomization).

nuglaanshaha Lighttpd

Nuglaanta Lighttpd ayaa la ogaaday oo la hagaajiyay 2018, laakiin CVE lama meelayn

Hagaajinta u nuglaanshahan waxaa laga hirgaliyay koodka Lighttpd ee 2018, gaar ahaan nooca 1.4.51. Si kastaba ha ahaatee, hagaajintan lama siinin aqoonsiga CVE mana la daabicin warbixin faahfaahinaysa nooca baylahda. Qoraalka siideynta ayaa lagu sheegay hagaajinta amniga, laakiin diiradda saarey nuglaanta mod_userdir ee la xiriirta isticmaalka jilayaasha sida "..." iyo "." magaca isticmaalaha

Kooxda Cilmi-baarista Laba-laba-laha ah waxay horseedeen siidaynta isku-dubbaridan ee u nuglaanshahan Intel iyo Lenovo PSIRTs. Labaduba way diideen inay hagaajiyaan ama garwaaqsadaan warbixinta nuglaanta sababtoo ah alaabada la xidhiidha waxay dhawaan gaadheen heerka dhamaadka nolosha mana heli doonaan hagaajinta amniga.

Waxaan kuwan ugu yeernaa cayayaanka weligood ah ee daba-geli doona silsiladda sahayda software-ka muddo dheer. Waxaan go'aansanay inaan diiwaangelinno cilladda silsiladda saadka software-ka si aan uga caawino nidaamka deegaanka inuu ka soo kabsado cilladaha amniga firmware-ka ee soo noqnoqda.

Inkasta oo isbeddelku uu sidoo kale tilmaamay dhibaato habka HTTP header, Soosaarayaasha firmware kuma jiraan hagaajintan ee alaabta. Intaa waxaa dheer, shirkaduhu waxay sheegeen in aysan qorsheyneynin inay sii daayaan cusbooneysiinta firmware-ka sababtoo ah alaabooyinka isticmaala qalabkan ayaa gaaray dhammaadka muddada taageerada, marka lagu daro in la tixgeliyo in darnaanta nuglaanta ay yar tahay.

Goobaha hadda saameeya baylahda awgeed waa: Intel M70KLP iyo Lenovo HX3710, HX3710-F iyo HX2710-E (Nuglanaanta ayaa jirta, iyo waxyaabo kale, ee u dambeeyay Lenovo firmware versions 2.88.58 iyo Intel 01.04.0030). Intaa waxaa dheer, waxaa la sheegay in dayacanka Lighttpd uu sidoo kale saameyn ku yeesho qalabka Supermicro, iyo sidoo kale server-yada isticmaala kontaroolayaasha BMC ee Duluth iyo ATEN.
Marka laga soo tago nuglaanshaha Lighttpd, Warbixintu waxay xustay baylahda kale ee muhiimka ah, sida akhrinta xad-dhaafka ah (CWE-125) ee moduleka Lighttpd ee loo isticmaalo aaladaha Intel, iyo sidoo kale dayacanka Intel M70KLP BMC firmware iyo server-yada Lenovo HX3710, HX3710-F iyo HX2710-E BMC firmware.

Ugu dambeyntii, waxaa xusid mudan taas iyon Warbixinta Cilmi-baarista ee Laba-laha ah ayaa iftiimisay baahida loo qabo muujinta mas'uuliyadda ah dayacanka la ogaaday, iyo sidoo kale wadashaqeyn lala yeesho soosaarayaasha iyo dhinacyada ay khuseyso (sida Intel iyo Lenovo), si loo yareeyo khataraha, maadaama ay joogitaanka "kutaannada weligeed ah" ee aaladaha gaaray dhamaadka meertada noloshooda ma aha wax cusub waxaana lagama maarmaan ah in la siiyo dadka isticmaala awood ay ku hirgeliyaan balastar ama xalalka iyaga u gaar ah, tani way caddahay marka soo-saaraha uu muujiyo in taageerada ay dhammaatay dhinaceeda.

Naps xiiseynaya in aan wax badan ka ogaado, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.