据IT之家4月16日消息,软件/固件供应链安全团队Binarly近期发现,仍有部分英特尔、联想服务器受到2018年的Lighttpd相关漏洞影响。
Lighttpd是一款轻量级的高效率开源Web服务器,对系统资源消耗较小,被应用于服务器主板上的基板管理控制器(BMC)中。
IT之家注:作为MCU微控制器的一种,BMC可为主板实现包括远程管理、重启、固件更新、监控在内的重要功能。
Lighttpd于2018年出现了一个可以远程利用的漏洞,开发方发现问题后进行了修复。
不过Lighttpd的开发者并未向这一漏洞分配包括CVE编号在内的追踪ID。这一静默修复行为导致该漏洞及其修复受到的关注较低。
下游AMI MegaRAC系列BMC的固件开发人员在2019~2023年的漫长时间内没有注意到这一问题,一直没有跟进修复。
采用AMI MegaRAC BMC的部分英特尔、联想服务器从供应链中受到了影响。
Binarly团队称,至今仍有至少2000台服务器因此存在Lighttpd相关漏洞。
联想方面就此向外媒BleepingComputer表示,其已知悉Binarly发现的AMI MegaRAC问题,正同供应商合作对影响进行评估;英特尔方面则称,受影响的服务器已达到EOL停产状态,不再受到安全更新,这意味着该部分服务器在退役之前容易受到相关攻击。