点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
研究人员发现,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。
虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补,但由于缺乏 CVE 标识符或建议,这意味着它被 AMI MegaRAC BMC 的开发人员忽视,最终出现在产品中由英特尔和联想提供。
Lighttpd(发音为“Lighty”)是一款开源高性能 Web 服务器软件,专为速度、安全性和灵活性而设计,同时针对高性能环境进行了优化,且不会消耗大量系统资源。
Lighttpd 的静默修复涉及越界读取漏洞,该漏洞可用于泄露敏感数据,例如进程内存地址,从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。
该固件安全公司表示:“缺乏有关安全修复的及时和重要信息,阻碍了固件和软件供应链上这些修复的正确处理。”
缺陷描述如下——
➣Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
➣Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
➣1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题,因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态,不再有资格进行安全更新,从而实际上将其变成了永远的错误。
该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。
研究人员补充道:“这是某些产品中永远无法修复的另一个漏洞,并将在很长一段时间内给行业带来高影响风险。”
来源:E安全
专业社群
精品活动推荐
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
