У разі використання цих недоліків зловмисники можуть отримати несанкціонований доступ до конфіденційної інформації або загалом спричинити проблеми
L Дослідники Binarly Research виявили нещодавно, виявлення старої вразливості в Lighttpd яка присутня в таких пристроях, як AMI BMC, включаючи продукти від Lenovo та Intel. Згадується, що ця вразливість дозволяє неавтентифікованому зловмиснику віддалено читати вміст пам'яті процесу, що підтримує веб-інтерфейс.
Уразливість присутня у мікропрограмі з 2019 року та походить від використання застарілої версії HTTP-сервера Lighttpd, яка містить невиправлену вразливість, і її присутність зараз впливає на серверні платформи Lenovo та Intel.
Про вразливість
Зазначається, що серйозність уразливості полягає в тому, що ця дозволяє читати пам'ять за межами виділеного буфера, спричинена помилкою в коді об’єднання заголовка HTTP під час указання кількох екземплярів заголовка «If-Modified-Since».
Під час обробки другого екземпляра заголовка Lighttpd виділив новий буфер для зберігання об’єднаного значення та звільнив буфер, що містить перше значення заголовка. Однак вказівник con->request.http_if_modified_since не оновлювався і продовжував вказувати на вже звільнену область пам’яті.
Ситуація погіршується, оскільки цей покажчик використовувався в операціях, які порівнювали вміст заголовка If-Modified-Since, і результат цих порівнянь вплинув на створення різних кодів повернення. тому зловмисник може грубою силою отримати новий вміст пам'яті який раніше займав перший буфер. Цю вразливість можна об’єднати з іншими, щоб, наприклад, визначити структуру пам’яті та обійти такі механізми безпеки, як ASLR (рандомізація адресного простору).
У 2018 році було виявлено та виправлено вразливість у Lighttpd, але CVE не було призначено
Виправлення цієї вразливості було реалізовано в кодовій базі Lighttpd у 2018 році, зокрема у версії 1.4.51. Однак цьому виправленню не було надано ідентифікатор CVE, а звіт із детальним описом природи вразливості не був опублікований. У примітці до випуску згадуються виправлення безпеки, але зосереджується на вразливості в mod_userdir, пов’язаній із використанням таких символів, як «..» і «.» в імені користувача.
Команда Binarly REsearch очолила скоординоване розкриття цієї вразливості PSIRT Intel і Lenovo. Обидва відмовилися виправити або підтвердити звіт про вразливість, оскільки пов’язані продукти нещодавно досягли статусу завершення терміну експлуатації та більше не отримуватимуть виправлення безпеки.
Ми називаємо це вічними помилками, які довго переслідуватимуть ланцюжок постачання програмного забезпечення. Ми вирішили задокументувати цю помилку безпеки ланцюга постачання програмного забезпечення, щоб допомогти екосистемі відновитися після повторюваних помилок безпеки вбудованого програмного забезпечення.
Хоча журнал змін також вказав на проблему в обробці заголовка HTTP, розробники мікропрограми не включили це виправлення в продукті. Крім того, компанії зазначили, що вони не планують випускати оновлення мікропрограм, оскільки продукти, які використовують ці мікропрограми, досягли кінця періоду підтримки, а також вважають, що серйозність уразливості низька.
Платформи, на які зараз впливає через вразливість є: Intel M70KLP і Lenovo HX3710, HX3710-F і HX2710-E (уразливість присутня, серед іншого, в останніх версіях прошивки Lenovo 2.88.58 і Intel 01.04.0030). Крім того, повідомляється, що уразливість в Lighttpd також впливає на прошивку обладнання Supermicro, а також сервери, які використовують контролери BMC від Duluth і ATEN.
На додаток до вразливості в Lighttpd, У звіті згадуються інші критичні вразливості, такі як Heap Out-of-bound read (CWE-125) у модулі Lighttpd, який використовується в пристроях Intel, а також уразливості в мікропрограмі Intel M70KLP BMC і прошивці серверів Lenovo HX3710, HX3710-F і HX2710-E BMC.
Нарешті, варто згадати, що іn Звіт Binarly Research підкреслює необхідність відповідального розкриття інформації виявлених вразливостей, а також співпраця з виробниками та відповідними сторонами (таких як Intel і Lenovo), щоб зменшити ризики, оскільки наявність «вічних помилок» у пристроях, які досягають кінця свого життєвого циклу, не є чимось новим, і необхідно пропонувати користувачам можливість впроваджувати виправлення або рішення на це зрозуміло, коли виробник вказує, що підтримка з його боку припинилася.
Якщо ви є цікаво дізнатися про це більше, Ви можете перевірити деталі У наступному посиланні.