L Výzkumníci Binárního výzkumu odhalili nedávno, detekce staré zranitelnosti v Lighttpd který je přítomen v zařízeních, jako jsou AMI BMC, včetně produktů od společností Lenovo a Intel. Je zmíněno, že tato zranitelnost povolit neověřenému útočníkovi vzdáleně číst obsah paměti procesu podporujícího webové rozhraní.
Tato chyba zabezpečení je přítomná ve firmwaru od roku 2019 a pochází z použití zastaralé verze serveru Lighttpd HTTP, který obsahuje neopravenou chybu zabezpečení a její přítomnost v současnosti ovlivňuje serverové platformy Lenovo a Intel.
O zranitelnosti
Uvádí se, že závažnost zranitelnosti spočívá ve skutečnosti, že toto umožňuje čtení paměti mimo přidělenou vyrovnávací paměť, způsobené chybou v kódu slučování záhlaví HTTP při zadávání více instancí záhlaví „If-Modified-Since“.
Při zpracování druhé instance záhlaví Lighttpd přidělil novou vyrovnávací paměť pro uložení kombinované hodnoty a uvolnil vyrovnávací paměť obsahující první hodnotu záhlaví. Ukazatel con->request.http_if_modified_since však nebyl aktualizován a stále ukazoval na již uvolněnou oblast paměti.
Situace je zhoršen, protože tento ukazatel byl použit v operacích, které porovnávaly obsah záhlaví If-Modified-Since a výsledek těchto srovnání ovlivnil generování různých návratových kódů. Proto, útočník by mohl hrubou silou odvodit nový obsah paměti který předtím zabíral první vyrovnávací paměť. Tato chyba zabezpečení může být kombinována s dalšími, například určit rozložení paměti a obejít bezpečnostní mechanismy, jako je ASLR (Address Space Randomization).
Oprava této chyby zabezpečení byla implementována v kódové základně Lighttpd v roce 2018, konkrétně ve verzi 1.4.51. Této opravě však nebyl přidělen identifikátor CVE a zpráva s podrobnostmi o povaze chyby zabezpečení nebyla zveřejněna. Poznámka k vydání zmiňovala opravy zabezpečení, ale soustředila se na zranitelnost v mod_userdir související s použitím znaků jako ".." a "." v uživatelském jménu.
Tým Binarly REsearch vedl koordinované odhalení této zranitelnosti pro Intel a Lenovo PSIRT. Oba odmítli opravit nebo potvrdit zprávu o zranitelnosti, protože související produkty nedávno dosáhly stavu konce životnosti a již nebudou dostávat opravy zabezpečení.
Říkáme tomu věčné chyby, které budou pronásledovat dodavatelský řetězec softwaru po dlouhou dobu. Rozhodli jsme se zdokumentovat tuto chybu zabezpečení dodavatelského řetězce softwaru, abychom pomohli ekosystému zotavit se z těchto opakovatelných chyb zabezpečení firmwaru.
I když changelog také upozorňoval na problém při zpracování hlaviček HTTP, vývojáři firmwaru tuto opravu nezahrnuli v produktu. Společnosti navíc uvedly, že nemají v plánu vydávat aktualizace firmwaru, protože produkty, které tyto firmwary používají, dosáhly konce období podpory, kromě toho, že závažnost zranitelnosti je nízká.
Platformy, kterých se to aktuálně týká kvůli zranitelnosti jsou: Intel M70KLP a Lenovo HX3710, HX3710-F a HX2710-E (zranitelnost je přítomna mimo jiné v nejnovějším firmwaru Lenovo ve verzi 2.88.58 a Intel 01.04.0030). Kromě toho se uvádí, že zranitelnost v Lighttpd také ovlivňuje firmware zařízení Supermicro, stejně jako servery, které používají řadiče BMC od Duluth a ATEN.
Kromě zranitelnosti v Lighttpd, Zpráva zmiňuje další kritická zranitelnosti, jako je například čtení Heap Out-of-bounds (CWE-125) v modulu Lighttpd používaném v zařízeních Intel, stejně jako zranitelnosti firmwaru Intel M70KLP BMC a firmwaru BMC serverů Lenovo HX3710, HX3710-F a HX2710-E.
Nakonec stojí za zmínku, že an Zpráva Binárního výzkumu zdůrazňuje potřebu odpovědného zveřejňování ze zjištěných zranitelností, stejně jako spolupráci s výrobci a příslušnými stranami (jako jsou Intel a Lenovo), ke zmírnění rizik, protože přítomnost „věčných chyb“ v zařízeních, která se chýlí ke konci svého životního cyklu, není nic nového a je nutné uživatelům nabídnout možnost implementovat záplaty nebo řešení na jejich vlastní, je to jasné, když výrobce naznačí, že podpora z jeho strany skončila.
Pokud zájem dozvědět se o tom více, můžete zkontrolovat podrobnosti Na následujícím odkazu.