Lighttpd网络服务器中存在一个未修补的安全漏洞的发现引发了有关英特尔和联想等设备供应商潜在风险的担忧。 Lighttpd原本在2018年已经解决了这个漏洞,但由于缺乏CVE标识符或建议,其他开发人员未能注意到这个问题。因此,这个漏洞进入了英特尔和联想等公司生产的产品中。
Lighttpd是一个以其速度、安全性和资源效率而闻名的高性能开源Web服务器。然而,Lighttpd中的一个特定漏洞造成了一种越界读漏洞,可能被威胁行为者利用来外泄敏感数据,有效地绕过关键的安全措施。
固件安全公司Binarly表示担忧缺乏有关安全修复的及时和重要信息。这种信息鸿沟妨碍了固件和软件供应链中修复措施的正确处理,使设备容易受到持续威胁。
更令人担忧的是英特尔和联想选择不解决这个问题。其产品中使用的受感染的Lighttpd版本已经达到了生命周期终结状态,使其无法接受安全更新。这将漏洞实质上转变为“永日性漏洞”,对整个行业构成持续风险。
这一披露突显了行业需要解决那些可能引发意外安全风险的过时第三方组件。最新固件版本中这些过时组件的存在可能产生深远的后果,影响终端用户并延续高风险。
设备供应商和开发人员必须优先考虑持续的安全更新,并采取积极的方法,确保及时承认和解决漏洞。通过弥补这些安全漏洞,行业可以减轻风险,增强产品的整体安全性。
要了解最新行业新闻和独家内容,请在Twitter和LinkedIn上关注我们。
The source of the article is from the blog guambia.com.uy