六年未措置,部分英特尔、联思处事器仍受 2018 年 BMC 漏洞影响
发布日期:2024-04-18 01:44 点击次数:65
IT之家 4 月 16 日音讯,软件 / 固件供应链安全团队 Binarly 近期发现,仍有部分英特尔、联思处事器受到 2018 年的 Lighttpd 相关漏洞影响。
Lighttpd 是一款轻量级的高成果开源 Web 处事器,对系统资源破钞较小,被应用于处事器主板上的基板经管甘休器 (BMC)中。
IT之家注:行动 MCU 微甘休器的一种,BMC 可为主板扫尾包括而也曾管、重启、固件更新、监控在内的迫切功能。
Lighttpd 于 2018 年出现了一个不错而已哄骗的漏洞,设备方发现问题后进行了设备。
不外 Lighttpd 的设备者并未向这一漏洞分派包括 CVE 编号在内的跟踪 ID。这一静默设备行动导致该漏洞偏握设备受到的关心较低。
下流 AMI MegaRAC 系列 BMC 的固件设备东谈主员在 2019~2023 年的漫长本事内莫得提神到这一问题,一直莫得跟进设备。
继承 AMI MegaRAC BMC 的部分英特尔、联思处事器从供应链中受到了影响。
Binarly 团队称,配资股票于今仍有至少 2000 台处事器因此存在 Lighttpd 相关漏洞。
联思方面就此向外媒 BleepingComputer 示意,其已瞻念察 Binarly 发现的 AMI MegaRAC 问题,正同供应商结合对影响进行评估;
英特尔方面则称,受影响的处事器已达到 EOL 停产情状,不再受到安全更新,这意味着该部分处事器在退役之前容易受到相关报复。