Lenovo と Intel は、サポートされていないコンピューターの 2019 年の脆弱性の解決を拒否

Darkcrizt

4分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

たくさん Binar Researchの研究者が明らかにした 最近、 Lighttpd の古い脆弱性の検出 これは、Lenovo や Intel の製品を含む、AMI BMC などのデバイスに存在します。この脆弱性について言及されているのは、 ことができます 認証されていない攻撃者に Web インターフェイスをサポートするプロセスのメモリ内容をリモートで読み取る.

この脆弱性は 2019 年からファームウェアに存在しており、Lighttpd HTTP サーバーの古いバージョンの使用に起因しています。この脆弱性には未修正の脆弱性が含まれており、その存在は現在 Lenovo および Intel サーバー プラットフォームに影響を与えています。

脆弱性について

この脆弱性の深刻さは、次の点にあると述べられています。 割り当てられたバッファ外のメモリを読み取ることができますこれは、「If-Modified-Since」ヘッダーの複数のインスタンスを指定する際の HTTP ヘッダー結合コードのエラーが原因で発生します。

2 番目のヘッダー インスタンスを処理するときに、Lighttpd は結合された値を保持するために新しいバッファーを割り当て、最初のヘッダー値を含むバッファーを解放しました。ただし、con->request.http_if_modified_since ポインタは更新されず、すでに解放されたメモリ領域を指し続けました。

状況 このポインターはヘッダーの内容を比較する操作で使用されたため、問題はさらに悪化します。 If-Modified-Since、およびこれらの比較の結果は、さまざまなリターン コードの生成に影響を与えました。したがって、 攻撃者は総当たりでメモリの新しい内容を推測する可能性があります。 以前に最初のバッファを占めていたもの。この脆弱性を他の脆弱性と組み合わせることで、たとえば、メモリ レイアウトを決定し、ASLR (アドレス空間ランダム化) などのセキュリティ メカニズムをバイパスすることができます。

Lighttpd の脆弱性

Lighttpd の脆弱性は 2018 年に発見され修正されましたが、CVE は割り当てられませんでした

この脆弱性の修正は、2018 年に Lighttpd コードベース、具体的にはバージョン 1.4.51 に実装されました。ただし、この修正には CVE 識別子が付与されておらず、脆弱性の性質を詳しく説明したレポートは公開されていません。リリース ノートではセキュリティ修正について言及していますが、「..」や「.」などの文字の使用に関連する mod_userdir の脆弱性に焦点を当てていました。ユーザー名に。

Binarly REsearch チームは、この脆弱性を Intel と Lenovo PSIRT に協調的に開示することを主導しました。関連製品が最近サポート終了のステータスに達し、セキュリティ修正が提供されなくなるため、両社は脆弱性報告の修正または承認を拒否しました。

私たちはこれらを、ソフトウェア サプライ チェーンを長期間悩ませる永遠のバグと呼んでいます。私たちは、エコシステムがこれらの再現性のあるファームウェアのセキュリティ欠陥から回復できるように、このソフトウェア サプライ チェーンのセキュリティ欠陥を文書化することにしました。

変更ログにも問題点が指摘されていましたが、 HTTPヘッダー処理では、 ファームウェア開発者はこの修正を含めていませんでした 製品の中で。なお、両社は、脆弱性の深刻度は低いと考えているほか、当該ファームウェアを使用する製品のサポート期間が終了しているため、ファームウェアのアップデートを公開する予定はないと述べている。

現在影響を受けているプラ​​ットフォーム 脆弱性によるものは次のとおりです。 Intel M70KLP および Lenovo HX3710、HX3710-F、および HX2710-E (この脆弱性は、特に、最新の Lenovo ファームウェア バージョン 2.88.58 および Intel 01.04.0030 に存在します)。また、Lighttpdの脆弱性はSupermicro機器のファームウェアにも影響を与えると報告されており、 Duluth および ATEN の BMC コントローラーを使用するサーバーも同様です。
Lighttpd の脆弱性に加えて、 レポートでは、ヒープ境界外読み取りなどの他の重大な脆弱性についても言及しています。 Intel デバイスで使用される Lighttpd モジュールの脆弱性 (CWE-125)、および Intel M70KLP BMC ファームウェアと Lenovo サーバー HX3710、HX3710-F、および HX2710-E BMC ファームウェアの脆弱性。

最後に、言及する価値があるのは、n Binarly Researchレポートは、責任ある開示の必要性を強調しています 検出された脆弱性のうち、 メーカーや関係者との連携も含めて (Intel や Lenovo など)、ライフサイクルの終わりに近づいているデバイスに「永遠のバグ」が存在することは新しいことではなく、ユーザーにパッチやソリューションを実装できる機能を提供する必要があるため、リスクを軽減するために。メーカーが自社側でサポートを終了したことを示している場合、これは明らかです。

もしあなたが それについてもっと知りたい、詳細を確認できます 次のリンクで。