关闭

部分英特尔、联想服务器仍受 2018 年 BMC 漏洞影响

发表于:2024-4-18 08:47

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:溯波(实习)    来源:IT之家

  软件 / 固件供应链安全团队 Binarly 近期发现,仍有部分英特尔联想服务器受到 2018 年的 Lighttpd 相关漏洞影响。
  Lighttpd 是一款轻量级的高效率开源 Web 服务器,对系统资源消耗较小,被应用于服务器主板上的基板管理控制器 (BMC)中。
  作为 MCU 微控制器的一种,BMC 可为主板实现包括远程管理、重启、固件更新、监控在内的重要功能。
  Lighttpd 于 2018 年出现了一个可以远程利用的漏洞,开发方发现问题后进行了修复。
  不过 Lighttpd 的开发者并未向这一漏洞分配包括 CVE 编号在内的追踪 ID。这一静默修复行为导致该漏洞及其修复受到的关注较低。
  下游 AMI MegaRAC 系列 BMC 的固件开发人员在 2019~2023 年的漫长时间内没有注意到这一问题,一直没有跟进修复。
  采用 AMI MegaRAC BMC 的部分英特尔、联想服务器从供应链中受到了影响。
  Binarly 团队称,至今仍有至少 2000 台服务器因此存在 Lighttpd 相关漏洞。
  联想方面就此向外媒 BleepingComputer 表示,其已知悉 Binarly 发现的 AMI MegaRAC 问题,正同供应商合作对影响进行评估;
  英特尔方面则称,受影响的服务器已达到 EOL 停产状态,不再受到安全更新,这意味着该部分服务器在退役之前容易受到相关攻击。
  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2024软件测试行业从业人员调查问卷》,您的见解,行业的声音!

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号