几年前发生的通信缺乏导致如今数千台设备容易受到可远程利用的堆越界(OOB)读取漏洞的影响，其中包括英特尔和联想服务器。

六年前，Lighttpd的维护者发现了上述缺陷，该缺陷可能允许威胁行为者窃取进程内存地址。反过来，这可以用来解决保护机制。

安全团队于2018年8月在版本1.4.51中修复了该缺陷，但他们没有分配CVE。Lighttpd是一款针对速度关键环境进行优化的开源Web服务器。

数以千计的易受攻击的设备

据BleepingComputer报道，由于未分配CVE，AMIMegaRAC底板管理控制器(BMC)的开发人员错过了更新，并且没有将其集成到他们的产品中。BMC是主板上的微控制器，专为服务器、数据中心、云环境等构建。它们专为远程管理、重新启动、监控和固件而设计。

因此，该漏洞沿着供应链传递给系统供应商及其客户。

六年后，在BMC扫描过程中，安全研究人员Binarly偶然发现了该漏洞。该公司表示，包括英特尔、联想和超微在内的多种产品都容易受到攻击。

研究人员告诉BleepingComputer：“根据我们的数据，现场有近2000多台设备受到影响。实际上，这个数字甚至更大。”

版权说明：本站所有作品图文均由用户自行上传分享，仅供网友学习交流。若您的权利被侵害，请联系我们

标签：