联想和英特尔拒绝解决不受支持的计算机中的 2019 年漏洞

漏洞

如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题

MGI Binarly Research 研究人员透露 最近,该 检测 Lighttpd 中的旧漏洞 它存在于 AMI BMC 等设备中,包括联想和英特尔的产品。据说这个漏洞 允许 对于未经身份验证的攻击者 远程读取支持Web界面的进程的内存内容.

该漏洞自 2019 年起就存在于固件中,源于使用过时版本的 Lighttpd HTTP 服务器,其中包含未修复的漏洞,目前影响联想和英特尔服务器平台。

关于漏洞

值得一提的是,该漏洞的严重性在于: 允许读取分配的缓冲区之外的内存,由指定“If-Modified-Since”标头的多个实例时 HTTP 标头合并代码中的错误引起。

当处理第二个标头实例时,Lighttpd 分配一个新的缓冲区来保存组合值,并释放包含第一个标头值的缓冲区。然而,con->request.http_if_modified_since指针没有更新,一直指向已经释放的内存区域。

情况 由于该指针用于比较标头内容的操作,因此情况更加恶化 If-Modified-Since,这些比较的结果影响不同返回码的生成。所以, 攻击者可以通过暴力推断内存的新内容 之前占用了第一个缓冲区。该漏洞可以与其他漏洞结合起来,例如确定内存布局并绕过 ASLR(地址空间随机化)等安全机制。

Lighttpd 中的漏洞

Lighttpd 中的漏洞于 2018 年被发现并修复,但未分配 CVE

该漏洞的修复已于 2018 年在 Lighttpd 代码库中实现,特别是在版本 1.4.51 中。然而,该修复程序并未给出 CVE 标识符,并且未发布详细说明该漏洞性质的报告。发行说明提到了安全修复,但重点关注了 mod_userdir 中与使用“..”和“.”等字符相关的漏洞。在用户名中。

Binarly REsearch 团队主导向英特尔和联想 PSIRT 协调披露了该漏洞。两者都拒绝修复或承认漏洞报告,因为相关产品最近已达到生命周期结束状态,将不再接收安全修复。

我们将这些称为“永远的错误”,它们将长期困扰软件供应链。我们决定记录此软件供应链安全缺陷,以帮助生态系统从这些可重复的固件安全缺陷中恢复。

虽然changelog也指出了一个问题 在HTTP头处理中, 固件开发人员没有包含此修复程序 在产品中。此外,这些公司还提到,他们没有计划发布固件更新,因为使用这些固件的产品已经达到支持期结束,此外考虑到该漏洞的严重性较低。

目前受影响的平台 由于漏洞的原因有: 英特尔 M70KLP 和联想 HX3710、HX3710-F 和 HX2710-E (该漏洞存在于最新的 Lenovo 固件版本 2.88.58 和 Intel 01.04.0030 中)。此外,据悉Lighttpd中的漏洞还影响了Supermicro设备的固件, 以及使用 Duluth 和 ATEN 的 BMC 控制器的服务器。
除了Lighttpd中的漏洞之外, 该报告还提到了其他严重漏洞,例如堆越界读取 Intel 设备中使用的 Lighttpd 模块中的漏洞(CWE-125),以及 Intel M70KLP BMC 固件和 Lenovo 服务器 HX3710、HX3710-F 和 HX2710-E BMC 固件中的漏洞。

最后,值得一提的是,n 二元研究报告强调负责任披露的必要性 检测到的漏洞, 以及与制造商和相关方的合作 (例如英特尔和联想),为了降低风险,因为在生命周期即将结束的设备中存在“永恒的错误”并不是什么新鲜事,有必要为用户提供实施补丁或解决方案的能力当制造商表明其支持已结束时,这一点就很明显了。

如果你是 有兴趣了解更多,您可以查看详细信息 在下面的链接中。


发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。