Last Updated on 2024-04-16 07:56 by admin
Binarlyが新たに発見したセキュリティ上の問題により、IntelおよびLenovoの基板管理コントローラ(BMC)で使用されているLighttpdウェブサーバに未修正の脆弱性が存在することが明らかになった。この脆弱性は、2018年8月にLighttpdのメンテナによってバージョン1.4.51で修正されたが、CVE識別子やアドバイザリが提供されなかったため、AMI MegaRAC BMCの開発者によって見過ごされ、結果としてIntelとLenovoが製造する製品に影響を及ぼしている。
Lighttpdは、高速性、セキュリティ、柔軟性を目的としたオープンソースの高性能ウェブサーバソフトウェアであり、多くのシステムリソースを消費することなく高性能環境に最適化されている。この脆弱性は、境界外読み取りの問題であり、プロセスメモリアドレスなどの機密データを抽出するために悪用される可能性があり、アドレス空間レイアウトのランダム化(ASLR)などの重要なセキュリティメカニズムを回避することを可能にする。
IntelとLenovoは、影響を受けるLighttpdのバージョンを搭載した製品がエンドオブライフ(EoL)状態に達しており、セキュリティ更新が適用されないため、この問題に対処することを選択していない。これにより、永続的な脆弱性となり、長期にわたって業界に高いリスクをもたらす可能性がある。
【ニュース解説】
IntelおよびLenovoの基板管理コントローラ(BMC)で使用されているLighttpdウェブサーバに、未修正の脆弱性が存在することが判明しました。この脆弱性は、2018年には既に発見され、修正されていましたが、CVE識別子やアドバイザリが提供されなかったため、AMI MegaRAC BMCの開発者によって見過ごされ、IntelとLenovoが製造する製品に影響を及ぼしています。
この問題の根底にあるのは、Lighttpdウェブサーバの境界外読み取りの脆弱性です。この脆弱性を悪用することで、攻撃者はプロセスメモリアドレスなどの機密データを抽出し、アドレス空間レイアウトのランダム化(ASLR)などのセキュリティメカニズムを回避することが可能になります。これは、システムのセキュリティを大きく損なう行為であり、悪意のある第三者による攻撃のリスクを高めます。
IntelとLenovoは、影響を受けるLighttpdのバージョンを搭載した製品がエンドオブライフ(EoL)状態に達しており、これ以上のセキュリティ更新が適用されないため、この問題に対処することを選択していません。これにより、該当する製品においては、この脆弱性が永続的な問題となり、将来にわたって高いリスクをもたらすことになります。
この事例は、ファームウェアやソフトウェアのサプライチェーンにおいて、第三者が提供するコンポーネントのセキュリティが適切に管理されていないことがどのようにして最終製品に影響を及ぼす可能性があるかを示しています。また、セキュリティ修正の情報が適切に共有されないことが、重要なセキュリティ対策の適用を妨げる要因となることも浮き彫りにしています。
この問題に対処するためには、製品のライフサイクル全体でセキュリティを考慮し、サプライチェーンの各段階でセキュリティ対策を講じることが重要です。また、セキュリティ修正の情報は迅速かつ適切に共有されるべきであり、これには業界全体での取り組みが求められます。このような脆弱性が将来的に発見された場合、迅速な対応と広範な情報共有が、セキュリティリスクの軽減に不可欠です。
from Intel and Lenovo BMCs Contain Unpatched Lighttpd Server Flaw.
