今天小編分享的科技經驗:六年未解決,部分英特爾、聯想伺服器仍受 2018 年 BMC 漏洞影響,歡迎閱讀。
IT 之家 4 月 16 日消息,軟體 / 固件供應鏈安全團隊 Binarly 近期發現,仍有部分英特爾、聯想伺服器受到 2018 年的 Lighttpd 相關漏洞影響。
Lighttpd 是一款輕量級的高效率開源 Web 伺服器,對系統資源消耗較小,被應用于伺服器主機板上的基板管理控制器 (BMC)中。
IT 之家注:作為 MCU 微控制器的一種,BMC 可為主機板實現包括遠程管理、重啟、固件更新、監控在内的重要功能。
Lighttpd 于 2018 年出現了一個可以遠程利用的漏洞,開發方發現問題後進行了修復。
不過 Lighttpd 的開發者并未向這一漏洞分配包括 CVE 編号在内的追蹤 ID。這一靜默修復行為導致該漏洞及其修復受到的關注較低。
下遊 AMI MegaRAC 系列 BMC 的固件開發人員在 2019~2023 年的漫長時間内沒有注意到這一問題,一直沒有跟進修復。
采用 AMI MegaRAC BMC 的部分英特爾、聯想伺服器從供應鏈中受到了影響。
Binarly 團隊稱,至今仍有至少 2000 台伺服器因此存在 Lighttpd 相關漏洞。
聯想方面就此向外媒 BleepingComputer 表示,其已知悉 Binarly 發現的 AMI MegaRAC 問題,正同供應商合作對影響進行評估;
英特爾方面則稱,受影響的伺服器已達到 EOL 停產狀态,不再受到安全更新,這意味着該部分伺服器在退役之前容易受到相關攻擊。