Una falla de seguridad que afecta al servidor web Lighttpd utilizado en los controladores de administración de la placa base (BMC) no ha sido parcheado por proveedores de dispositivos como Intel y Lenovo, revelan nuevos hallazgos de Binarly.
Si bien el defecto original era descubierto y parcheado por los mantenedores de Lighttpd allá por agosto de 2018 con versión 1.4.51la falta de un identificador CVE o un aviso significó que los desarrolladores de AMI MegaRAC BMC lo pasaran por alto, y finalmente terminaron en productos fabricados por Intel y Lenovo.
Lighttpd (pronunciado «Lighty») es un software de servidor web de código abierto de alto rendimiento diseñado para brindar velocidad, seguridad y flexibilidad, mientras está optimizado para entornos de alto rendimiento sin consumir muchos recursos del sistema.
La solución silenciosa para Lighttpd se refiere a una vulnerabilidad de lectura fuera de límites que podría explotarse para filtrar datos confidenciales, como direcciones de memoria de proceso, permitiendo así a los actores de amenazas eludir mecanismos de seguridad cruciales como la aleatorización del diseño del espacio de direcciones (ASLR).
«La ausencia de información rápida e importante sobre las correcciones de seguridad impide el manejo adecuado de estas correcciones en las cadenas de suministro de firmware y software», dijo la compañía de seguridad de firmware. dicho.
Los defectos se describen a continuación:
- Lectura fuera de límites en Lighttpd 1.4.45 utilizado en el firmware de la serie Intel M70KLP
- Lectura fuera de límites en Lighttpd 1.4.35 utilizado en el firmware Lenovo BMC
- Fuera de límites leídos en Lighttpd antes de 1.4.51
Intel y Lenovo han optado por no abordar el problema ya que los productos que incorporan la versión susceptible de Lighttpd han llegado al estado de fin de vida útil (EoL) y ya no son elegibles para actualizaciones de seguridad, convirtiéndolo efectivamente en un error de por vida.
La divulgación destaca cómo la presencia de componentes obsoletos de terceros en la última versión del firmware puede atravesar la cadena de suministro y plantear riesgos de seguridad no deseados para los usuarios finales.
«Esta es otra vulnerabilidad más que permanecerá sin solucionarse para siempre en algunos productos y presentará un riesgo de alto impacto para la industria durante mucho tiempo», añadió Binarly.