英特尔和联想存在永久的安全漏洞

研究人员发现，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。”缺陷 ………………………………