Hvis de udnyttes, kan disse fejl give angribere mulighed for at få uautoriseret adgang til følsomme oplysninger eller generelt forårsage problemer
masse Binarly Research-forskere afslørede for nylig, den påvisning af en gammel sårbarhed i Lighttpd som er til stede i enheder som AMI BMC'er, herunder produkter fra Lenovo og Intel. Det nævnes, at denne sårbarhed tillade til en uautoriseret angriber fjernlæse hukommelsesindholdet i processen, der understøtter webgrænsefladen.
Sårbarheden har været til stede i firmwaren siden 2019 og stammer fra brugen af en forældet version af Lighttpd HTTP-serveren, som indeholder en ukorrigeret sårbarhed, og dens tilstedeværelse påvirker i øjeblikket Lenovo og Intel serverplatforme.
Om sårbarhed
Det nævnes, at alvoren af sårbarheden ligger i, at denne tillader læsning af hukommelse uden for den tildelte buffer, forårsaget af en fejl i HTTP-header-fletningskoden ved angivelse af flere forekomster af "If-Modified-Since"-headeren.
Ved behandling af den anden header-instans tildelte Lighttpd en ny buffer til at holde den kombinerede værdi og frigjorde bufferen indeholdende den første header-værdi. Men con->request.http_if_modified_since-markøren blev ikke opdateret og blev ved med at pege på det allerede frigjorte hukommelsesområde.
Situationen forværres, fordi denne markør blev brugt i operationer, der sammenlignede indholdet af overskriften If-Modified-Since, og resultatet af disse sammenligninger påvirkede genereringen af forskellige returkoder. Derfor, en angriber kunne med rå magt udlede erindringens nye indhold som tidligere optog den første buffer. Denne sårbarhed kan kombineres med andre til for eksempel at bestemme hukommelseslayoutet og omgå sikkerhedsmekanismer såsom ASLR (Address Space Randomization).
Sårbarhed i Lighttpd blev opdaget og rettet i 2018, men en CVE blev ikke tildelt
Rettelsen af denne sårbarhed blev implementeret i Lighttpd-kodebasen i 2018, specifikt i version 1.4.51. Denne rettelse fik dog ikke en CVE-id, og en rapport, der beskriver sårbarhedens art, blev ikke offentliggjort. Udgivelsesnoten nævnte sikkerhedsrettelser, men fokuserede på en sårbarhed i mod_userdir relateret til brugen af tegn som ".." og "." i brugernavnet.
Binarly REsearch-teamet ledede den koordinerede offentliggørelse af denne sårbarhed til Intel og Lenovo PSIRT'er. Begge afviste at rette eller anerkende sårbarhedsrapporten, fordi de tilknyttede produkter for nylig nåede end-of-life-status og ikke længere vil modtage sikkerhedsrettelser.
Vi kalder disse de evige fejl, der vil hjemsøge softwareforsyningskæden i lang tid. Vi besluttede at dokumentere denne sikkerhedsfejl i softwareforsyningskæden for at hjælpe økosystemet med at komme sig over disse gentagelige firmwaresikkerhedsfejl.
Selvom changelog også påpegede et problem i HTTP-headerbehandling, Firmwareudviklere inkluderede ikke denne rettelse i produktet. Derudover har virksomhederne nævnt, at de ikke har planer om at frigive firmwareopdateringer, fordi de produkter, der bruger disse firmwares, har nået slutningen af deres supportperiode, udover at overveje, at alvorligheden af sårbarheden er lav.
De platforme, der i øjeblikket er berørt på grund af sårbarhed er: Intel M70KLP og Lenovo HX3710, HX3710-F og HX2710-E (sårbarheden er blandt andet til stede i de seneste Lenovo-firmwareversioner 2.88.58 og Intel 01.04.0030). Derudover rapporteres det, at sårbarheden i Lighttpd også påvirker firmwaren på Supermicro-udstyr, samt servere der bruger BMC controllere fra Duluth og ATEN.
Ud over sårbarheden i Lighttpd, Rapporten nævner andre kritiske sårbarheder, såsom Heap Out-of-bounds-læsning (CWE-125) i Lighttpd-modulet, der bruges i Intel-enheder, samt sårbarheder i Intel M70KLP BMC-firmwaren og Lenovo HX3710-, HX3710-F- og HX2710-E BMC-serverfirmwaren.
Til sidst er det værd at nævne, at ogn Binarly Research-rapport fremhæver behovet for ansvarlig offentliggørelse af de opdagede sårbarheder, samt samarbejde med producenter og relevante parter (såsom Intel og Lenovo), for at mindske risici, da tilstedeværelsen af "evige fejl" i enheder, der er ved at nå slutningen af deres livscyklus, ikke er noget nyt, og det er nødvendigt at tilbyde brugerne muligheden for at implementere patches eller løsninger på deres egen, dette er tydeligt, når producenten angiver, at supporten er afsluttet fra sin side.
Hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.