Это может привести к краже адресов памяти процесса, чтобы обойти такие механизмы защиты, как рандомизация размещения адресного пространства (ASLR).
В ходе недавнего сканирования контроллеров управления основной платой (BMC) исследователи из компании Binarly, занимающейся безопасностью встроенного программного обеспечения, обнаружили уязвимость OOB, которую можно использовать удалённо через этот веб-сервер.
Разработчики Lighthttpd незаметно исправили её в августе 2018 года в версии 1.4.51, не назначая идентификатор отслеживания (CVE).
Это привело к тому, что разработчики AMI MegaRAC BMC пропустили исправление и не смогли интегрировать его в продукт. Таким образом, уязвимость передалась по цепочке поставщикам систем и их клиентам. Binarly обнаружила, что AMI не смогла применить исправление Lighttpd с 2019 по 2023 год, и это привело к внедрению большого количества устройств, уязвимых для удалённой эксплуатации ошибки. Было затронуто несколько продуктов Intel, Lenovo и Supermicro, а всего более 2 тысяч устройств.
Binarly уведомили компании о проблеме. По данным аналитиков, некоторые системы Intel, выпущенные 22 февраля 2023 года, содержат уязвимый компонент. Однако Lenovo и Intel заявили, что затронутые модели достигли конца срока службы (EOL) и больше не получают обновления безопасности, а это означает, что они, скорее всего, останутся уязвимыми.
Присоединяйтесь к ОК, чтобы подписаться на группу и комментировать публикации.
Нет комментариев