Binarly’nin yeni bulguları, anakart yönetim denetleyicilerinde (BMC’ler) kullanılan Lighttpd web sunucusunu etkileyen bir güvenlik kusurunun Intel ve Lenovo gibi cihaz satıcıları tarafından yamalanmadığını ortaya koyuyor.
Orijinal eksiklik olmasına rağmen keşfedildi ve yamalandı Lighttpd yöneticileri tarafından Ağustos 2018’de sürüm 1.4.51Bir CVE tanımlayıcısının veya tavsiye belgesinin bulunmaması, bunun AMI MegaRAC BMC geliştiricileri tarafından gözden kaçırıldığı ve sonuçta Intel ve Lenovo tarafından üretilen ürünlerde ortaya çıktığı anlamına geliyordu.
Lighttpd (“Hafif” olarak telaffuz edilir), hız, güvenlik ve esneklik için tasarlanmış, aynı zamanda çok fazla sistem kaynağı tüketmeden yüksek performanslı ortamlar için optimize edilmiş, açık kaynaklı, yüksek performanslı bir web sunucusu yazılımıdır.
Lighttpd’ye yönelik sessiz düzeltme, işlem belleği adresleri gibi hassas verileri sızdırmak için kullanılabilecek, böylece tehdit aktörlerinin adres alanı düzeni rastgeleleştirmesi gibi önemli güvenlik mekanizmalarını atlamasına olanak tanıyan, sınır dışı okuma güvenlik açığıyla ilgilidir (ASLR).
Firmware güvenlik şirketi, “Güvenlik düzeltmeleriyle ilgili hızlı ve önemli bilgilerin bulunmaması, bu düzeltmelerin hem bellenim hem de yazılım tedarik zincirlerinde düzgün şekilde işlenmesini engelliyor” dedi. söz konusu.
Kusurlar aşağıda açıklanmıştır –
- Intel M70KLP serisi donanım yazılımında kullanılan Lighttpd 1.4.45’te sınır dışı okuma
- Lenovo BMC ürün yazılımında kullanılan Lighttpd 1.4.35’te sınır dışı okuma
- 1.4.51’den önce Lighttpd’de saha dışı okumalar
Intel ve Lenovo, Lighttpd’nin hassas sürümünü içeren ürünlerin kullanım ömrü sonu (EoL) durumuna ulaşması ve artık güvenlik güncellemeleri için uygun olmaması nedeniyle bu sorunu ele almamayı tercih etti ve bu da durumu kalıcı bir hataya dönüştürdü.
Açıklamada, yazılımın en son sürümündeki güncelliğini yitirmiş üçüncü taraf bileşenlerin varlığının, tedarik zincirini nasıl aşabileceği ve son kullanıcılar için nasıl istenmeyen güvenlik riskleri oluşturabileceği vurgulanıyor.
Binarly, “Bu, bazı ürünlerde sonsuza kadar giderilemeyecek bir başka güvenlik açığıdır ve sektöre çok uzun bir süre boyunca yüksek etkili riskler sunacaktır” diye ekledi.