六年未解決，部分英特爾、聯(lián)想服務(wù)器仍受 2018 年 BMC 漏洞影響

IT之家 4 月 16 日消息，軟件 / 固件供應(yīng)鏈安全團(tuán)隊(duì) Binarly 近期發(fā)現(xiàn)，仍有部分英特爾、聯(lián)想服務(wù)器受到 2018 年的 Lighttpd 相關(guān)漏洞影響。

Lighttpd 是一款輕量級(jí)的高效率開源 Web 服務(wù)器，對(duì)系統(tǒng)資源消耗較小，被應(yīng)用于服務(wù)器主板上的基板管理控制器 （BMC）中。

IT之家注：作為 MCU 微控制器的一種，BMC 可為主板實(shí)現(xiàn)包括遠(yuǎn)程管理、重啟、固件更新、監(jiān)控在內(nèi)的重要功能。

Lighttpd 于 2018 年出現(xiàn)了一個(gè)可以遠(yuǎn)程利用的漏洞，開發(fā)方發(fā)現(xiàn)問題后進(jìn)行了修復(fù)。

不過 Lighttpd 的開發(fā)者并未向這一漏洞分配包括 CVE 編號(hào)在內(nèi)的追蹤 ID。這一靜默修復(fù)行為導(dǎo)致該漏洞及其修復(fù)受到的關(guān)注較低。

下游 AMI MegaRAC 系列 BMC 的固件開發(fā)人員在 2019~2023 年的漫長(zhǎng)時(shí)間內(nèi)沒有注意到這一問題，一直沒有跟進(jìn)修復(fù)。

采用 AMI MegaRAC BMC 的部分英特爾、聯(lián)想服務(wù)器從供應(yīng)鏈中受到了影響。

Binarly 團(tuán)隊(duì)稱，至今仍有至少 2000 臺(tái)服務(wù)器因此存在 Lighttpd 相關(guān)漏洞。

聯(lián)想方面就此向外媒 BleepingComputer 表示，其已知悉 Binarly 發(fā)現(xiàn)的 AMI MegaRAC 問題，正同供應(yīng)商合作對(duì)影響進(jìn)行評(píng)估；

英特爾方面則稱，受影響的服務(wù)器已達(dá)到 EOL 停產(chǎn)狀態(tài)，不再受到安全更新，這意味著該部分服務(wù)器在退役之前容易受到相關(guān)攻擊。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。