A Lighttpd web szerverben felfedezett megerősített biztonsági hiba aggodalmakat keltett az olyan eszközgyártók, mint az Intel és a Lenovo által kockázatokkal járó esetleges problémák miatt. Habár a hiba eredetileg 2018-ban megoldásra került a Lighttpd karbantartóinak által, a CVE azonosító vagy tanácsadás hiánya miatt más fejlesztők észrevétlenül hagyták. Ennek következtében ez a sebezhetőség bekerült az Intel és a Lenovo által gyártott termékekbe.
A Lighttpd egy magas teljesítményű, nyílt forrású web szerver, amely gyorsaságáról, biztonságáról és erőforrás-hatékonyságáról ismert. Sajnos egy bizonyos hiba a Lighttpd-ben egy hozzáférési korlátozásokat átlépő olvasási sebezhetőséget hozott létre, amelyet a fenyegetési szereplők kihasználhattak az érzékeny adatok kifecskendezésére, megkerülve a kritikus biztonsági intézkedéseket.
A firmware biztonsági vállalat, a Binarly kifejezte aggodalmát a biztonsági javításokkal kapcsolatos azonnali és fontos információk hiánya miatt. Ennek az információs hézagnak a megléte akadályozza a javítások megfelelő kezelését a firmware és szoftver ellátási láncok egészében, amelyek folyamatos fenyegetéseknek teszik ki az eszközöket.
A helyzet még aggasztóbbá válik azzal, hogy az Intel és a Lenovo nem döntött úgy, hogy kezelje a problémát. Az általuk alkalmazott Lighttpd fertőzött verziói elértek az életciklus végéhez, ami azt jelenti, hogy nem kaphatnak biztonsági frissítéseket. Ez azonban valójában azt jelenti, hogy a sebezhetőséget „örök napos hiba” váltja át, állandó kockázatot jelentve az iparág számára.
Ez a feltárás rávilágít arra, hogy az iparágnak fel kellene lépnie az elavult harmadik fél komponensekkel kapcsolatos biztonsági kockázatok ellen. Ezek az elavult komponensek jelenléte a legfrissebb firmware verziókban messzemenő következményekkel járhat, hatással lehet az end használókra, és magas hatású kockázatokat folytonosít.
Az eszközgyártóknak és fejlesztőknek prioritássá kell tenniük a folyamatos biztonsági frissítéseket, és proaktív megközelítést kell alkalmazniuk annak érdekében, hogy a sebezhetőségeket azonnal elismerjék és kezeljék. Ezzel a biztonsági rések bezárásával az iparág csökkentheti a kockázatokat, és megerősítheti termékeik általános biztonságát.
További információkért és exkluzív tartalmakért kövess minket a Twitteren és a LinkedInen.
The source of the article is from the blog procarsrl.com.ar