英特尔和联想 BMC 存在未修补的 Lighttpd 服务器缺陷

Binarly 的新发现显示，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。

虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。

Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。

Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。

该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。”

缺陷描述如下——

Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题，因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态，不再有资格进行安全更新，从而实际上将其变成了永远的错误。

该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。

Binarly 补充道：“这是某些产品中永远无法修复的另一个漏洞，并将在很长一段时间内给行业带来高影响风险。”