Binarly’nin yeni bulguları, anakart yönetim denetleyicilerinde (BMC’ler) kullanılan Lighttpd web sunucusunu etkileyen bir güvenlik kusurunun Intel ve Lenovo gibi cihaz satıcıları tarafından yamalanmadığını ortaya koyuyor.
Orijinal eksiklik, Lighttpd geliştiricileri tarafından Ağustos 2018’de 1.4.51 sürümüyle keşfedilip yamalanmış olsa da, bir CVE tanımlayıcısının veya bir tavsiye belgesinin bulunmaması, bunun AMI MegaRAC BMC geliştiricileri tarafından gözden kaçırıldığı ve sonuçta üretilen ürünlerle sonuçlandığı anlamına geliyordu. Intel ve Lenovo tarafından.
Lighttpd (“Hafif” olarak telaffuz edilir), hız, güvenlik ve esneklik için tasarlanmış, aynı zamanda çok fazla sistem kaynağı tüketmeden yüksek performanslı ortamlar için optimize edilmiş, açık kaynaklı, yüksek performanslı bir web sunucusu yazılımıdır.
Lighttpd’ye yönelik sessiz düzeltme, işlem belleği adresleri gibi hassas verileri sızdırmak için kullanılabilecek, böylece tehdit aktörlerinin adres alanı düzeni rastgeleleştirme (ASLR) gibi önemli güvenlik mekanizmalarını atlamasına olanak tanıyan, sınır dışı okuma güvenlik açığıyla ilgilidir.
Ürün yazılımı güvenlik şirketi, “Güvenlik düzeltmeleriyle ilgili hızlı ve önemli bilgilerin bulunmaması, bu düzeltmelerin hem aygıt yazılımı hem de yazılım tedarik zincirlerinde düzgün şekilde ele alınmasını engelliyor” dedi.
Kusurlar aşağıda açıklanmıştır –
- Intel M70KLP serisi donanım yazılımında kullanılan Lighttpd 1.4.45’te sınır dışı okuma
- Lenovo BMC ürün yazılımında kullanılan Lighttpd 1.4.35’te sınır dışı okuma
- 1.4.51’den önce Lighttpd’de saha dışı okumalar
Intel ve Lenovo, Lighttpd’nin hassas sürümünü içeren ürünlerin kullanım ömrü sonu (EoL) durumuna ulaşması ve artık güvenlik güncellemeleri için uygun olmaması nedeniyle bu sorunu ele almamayı tercih etti ve bu durum, sorunu kalıcı bir hataya dönüştürdü.
Açıklamada, yazılımın en son sürümündeki güncelliğini yitirmiş üçüncü taraf bileşenlerin varlığının, tedarik zincirini nasıl aşabileceği ve son kullanıcılar için nasıl istenmeyen güvenlik riskleri oluşturabileceği vurgulanıyor.
Binarly, “Bu, bazı ürünlerde sonsuza kadar giderilemeyecek bir başka güvenlik açığıdır ve sektöre çok uzun bir süre boyunca yüksek etkili riskler sunacaktır” diye ekledi.