La découverte d’une faille de sécurité non corrigée dans le serveur web Lighttpd a suscité des inquiétudes concernant les risques potentiels auxquels sont confrontés les fabricants de périphériques tels qu’Intel et Lenovo. Alors que la faille a été initialement résolue par les mainteneurs de Lighttpd en 2018, l’absence d’identifiant CVE ou d’avis a fait qu’elle est passée inaperçue par d’autres développeurs. Par conséquent, cette vulnérabilité s’est retrouvée dans les produits fabriqués par Intel et Lenovo.
Lighttpd est un serveur web open-source reconnu pour sa rapidité, sa sécurité et son efficacité en termes de ressources. Malheureusement, une faille particulière dans Lighttpd a créé une vulnérabilité de lecture hors limites qui pouvait être exploitée par des acteurs malveillants pour exfiltrer des données sensibles, contournant ainsi des mesures de sécurité critiques.
La société de sécurité des firmwares, Binarly, s’est dite préoccupée par l’absence d’informations importantes et rapides concernant les correctifs de sécurité. Ce manque d’information entrave la bonne gestion des correctifs dans l’ensemble des chaînes d’approvisionnement en firmwares et logiciels, laissant les périphériques vulnérables à des menaces continues.
Ce qui rend cette situation encore plus préoccupante, c’est qu’Intel et Lenovo ont choisi de ne pas traiter le problème. Les versions infectées de Lighttpd utilisées dans leurs produits ont atteint la fin de leur cycle de vie, les rendant inéligibles aux mises à jour de sécurité. Cela transforme effectivement la vulnérabilité en un « bug de jour-zéro éternel », posant des risques continus pour l’industrie.
Cette divulgation souligne la nécessité pour l’industrie de s’attaquer aux composants tiers obsolètes pouvant créer des risques de sécurité non intentionnels. La présence de ces composants obsolètes dans les dernières versions de firmwares peut avoir des conséquences graves, impactant les utilisateurs finaux et perpétuant des risques importants.
Les fabricants de périphériques et les développeurs doivent donner la priorité aux mises à jour de sécurité en continu et adopter une approche proactive pour garantir que les vulnérabilités soient rapidement reconnues et traitées. En comblant ces failles de sécurité, l’industrie peut atténuer les risques et renforcer la sécurité globale de leurs produits.
Pour rester informé des dernières actualités de l’industrie et pour accéder à du contenu exclusif, suivez-nous sur Twitter et LinkedIn.
The source of the article is from the blog qhubo.com.ni