Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd"	+/–
Сообщение от opennews (??), 14-Апр-24, 22:48
В прошивках MegaRAC от компании American Megatrends (AMI), которые применяются в контроллерах BMC (Baseboard Management Сontroller), используемых производителями серверов для организации автономного управления оборудованием, выявлена уязвимость, позволяющая  неаутентифицированному атакующему удалённо прочитать содержимое памяти процесса, обеспечивающего функционирование web-интерфейса. Уязвимость проявляется в прошивках, выпускаемых с 2019 года, и вызвана поставкой старой версии HTTP-сервера Lighttpd, содержащей неисправленную уязвимость... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60982
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 14-Апр-24, 23:05	+6 +/–
Забавно, что lighttpd преподносит себя как "_secure_, fast, compliant, and very flexible web server". Secure в их понимании видимо скрытое устранение уязвимостей без лишней огласки. А ведь если копнуть там  можно нарыть и такие прекрасные вещи https://redmine.lighttpd.net/issues/2700 для которых до сих пор нет CVE.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #13, #40, #41

4. Сообщение от Аноним (4), 14-Апр-24, 23:06	+4 +/–
Вообще конечно прикольно. Фикс был готов много лет назад, но вендо его пропустил. А теперь не будет обновлять, потому что срок поддержки вышел. Это для таких компаний наверно хотели ввести ответственность за дыры в стороннем ПО, которое они заюзали у себя
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #11

5. Сообщение от нах. (?), 14-Апр-24, 23:32	+/–
И внезапно - вреда от этой увизгвимости - никакого. Какой вредный вендор, не хочет херней пострадать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от YetAnotherOnanym (ok), 14-Апр-24, 23:35	+/–
То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

7. Сообщение от Аноним (7), 14-Апр-24, 23:49	+/–
Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор, а такого админа надо гнать мокрыми тряпками.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от Аноним (8), 14-Апр-24, 23:54	+2 +/–
> То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть. У них есть одно существенное преимущество по сравнению с lighttpd: честность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #21, #25

9. Сообщение от Аноним (8), 14-Апр-24, 23:55	+1 +/–
Банальный DNS rebind — и локальная дыра становится глобальной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

10. Сообщение от Аноним (7), 15-Апр-24, 00:11	+1 +/–
И как ты дальше будешь хекать мой сервер через это? Тут нужно знать адресс хоста BMC для которого делать rebind, потом найти CSRF (например добавить юзера), заставить админа кликнуть на левую ссылку, а потом тыкнуть в консоль, которая в тех версиях еще в Java аплете. Ну так себе цепочка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

11. Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 00:13	–1 +/–
То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в принципе нормально, кроме того, из вины в поставке дырявой версии нет. А вот господа из lighttpd поступили не просто по-свински, а, буквально, совершили диверсию. У всех крупных организаций существует процесс обнаружения уязвимостей ПО. Уровень разный, но база – проверка наличия CVE по номеру версии. Если CVE не опубликована, а исправлена втихую, то подобные сканеры не будут ругаться и версия уйдет в поставку. PS: Не зря я вчера писал, что ребятки не вызывают доверия из-за кривого сайта. Да, звучит смешно, но чуйка не подвела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12, #27

12. Сообщение от Аноним (4), 15-Апр-24, 00:49	+6 +/–
Их вины в поставке дырявой версии нет? Ахахах, серьезно? А  чья тут вина, что дырявая версия в их продукте оказалась? А автор lighttpd так-то ваще им ничем не обязан. Сами должны были чекать. Сканер, блин, у них нет сработал в крупной организации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (13), 15-Апр-24, 00:55	+1 +/–
Так это не проблема с безопасностью была, а для кого надо функция. Кому надо функция перестала быть нужна, вот её и убрали. А кто софт бесплатно юзает, а сам его не аудирует - тот сам виноват. AS IS, читать лицензию надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #16

14. Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 01:37	–4 +/–
Они тоже не обязаны, прикинь? Срок поддержки истёк, делайте чо хотите. А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление. Но имеем что имеем – никто не виноват, но все – в заднице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15, #17, #31

15. Сообщение от Аноним (15), 15-Апр-24, 02:42	+5 +/–
Пришли какие-то мажоры , заюзали Lighttpd по тихому (весь доход лично себе), а крайние теперь апстрим? Смешно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

16. Сообщение от Аноним (16), 15-Апр-24, 07:32	–1 +/–
Простой пользователь не обязан знать как работает программа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20, #29

17. Сообщение от Аноним (17), 15-Апр-24, 08:00	+1 +/–
> Они тоже не обязаны, прикинь? > Срок поддержки истёк, делайте чо хотите Ну теперь то истек. А вопрос был о том почему не исправили раньше до того как истек? Отмазки про то, что cve не было и наш сканер в крупной организации, где доход миллиарды баксов, не сработал- это отмазка на уровне детского сада
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23

19. Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:22	–1 +/–
Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе. Лицензию выбирают разработчики и это их выбор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22

20. Сообщение от Прадед (?), 15-Апр-24, 08:25	+1 +/–
Так он и не знает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от Аноним (21), 15-Апр-24, 08:29	+/–
Как ты это преимущество монетизируешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #35, #36

22. Сообщение от Аноним (21), 15-Апр-24, 08:33	+/–
Так и какие уязвимости публиковать тоже васян выбирает. Тем более он может с того что втихую добавил и в тихую убрал получить больше дохода чем эти корпы. А крайние пользователи, которых нагнули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:36	+/–
Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не знает, все только "отмазки детского сада" лепят. Даже ядро выходит с кучей ошибок, а на его тестирование тратиться охулиард денег, у Гугла фермы с фазингом сжирают бюджет небольшой области, но аноним с опеннета знает способы понадёжнее, кажется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:40	+/–
Вероятность этого не нулевая, но я всё же думаю, что разработчики просто "портить статистику" для своего проекта не хотели
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от YetAnotherOnanym (ok), 15-Апр-24, 09:11	+/–
Это очень важно в эксплуатации, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #32

26. Сообщение от Аноним (27), 15-Апр-24, 09:28    Скрыто ботом-модератором	+/–
Он просто придёт к тебе с паяльником, чтобы за чашкой чая обсудить твою безопастность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

27. Сообщение от Аноним (27), 15-Апр-24, 09:36	+/–
То ли дело angie, там даже по 15 рублей платят?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

29. Сообщение от Аноним (29), 15-Апр-24, 10:28	+2 +/–
Незнание как работает программа не освобождает от ответственности за её использование.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #30

30. Сообщение от Прадед (?), 15-Апр-24, 10:33	+/–
Шах и мат, юзер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (31), 15-Апр-24, 10:46	+/–
>А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление. А вот если бы, да кабы — во рту бы росли грибы. Вендор не обязан обновлять либы, даже в случае уявимости. А ты сам их обновить легально не можешь. И даже если вендор выпустит обновление прошивки просто с обновлением либ, никто не гарантирует, что оно будет бесплатным, а не специально за такую цену, за которую ты предпочтёшь новую мат. плату купить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

32. Сообщение от Аноним (-), 15-Апр-24, 10:51	+2 +/–
Да, прикинь это важно. Если разраб пытается замести уязвимости под ковер, то это проблема на порядок больше, чем софтина где их больше, но их нормально закрывают. Потому что ты не будешь просто так обновлять зависимость потому что "циферка увеличилась". Для этого нужно причины, потому что обновление требует просмотреть все изменения, обновить, хорошо протестить на регрессии и только тогда в прод. Думаю именно этим подходом руководствовались разрабы AMI. А исправление CVE это знак о необходимости обновиться. При нормальной публикации у тебя есть время на это. А если автор в крысу закрывает уязвимости без идентификаторов, то автор п#####сина, а его поделие нужно заменить как можно быстрее. Потому что доверия ему нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

33. Сообщение от Аноним (33), 15-Апр-24, 10:57	+3 +/–
> Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости. Правильно, зачем фиксы, иди и купи новый сервер. И эти говноеды ещё что-то кукарекают про выбросы CO2! Прикинь, если делать меньше новых серверов и дольше использовать старые, будет меньше выбросов CO2! Ах, да, тогда корпорации заработают меньше баксов. Да же Microsoft выпускало фиксы для своей “протухшей” винды!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

34. Сообщение от Аноним (34), 15-Апр-24, 13:26	+/–
Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольше. И в перспективе ваще перейти на NetBSD оно даже на 80386 до сих пор работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

35. Сообщение от Аноним (8), 15-Апр-24, 15:10	+/–
Репутация — очень ценный актив любой нормальной компании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

36. Сообщение от scriptkiddis (?), 15-Апр-24, 21:04	+1 +/–
А таким как ты бы весь мир монетизировать, все в монетках
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

37. Сообщение от Аноним (37), 16-Апр-24, 00:31	+1 +/–
Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет открываем код. Кому нужно - скачает, пофиксит, оьновит. Кому не нужно, не скачает и не оьновит. Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать. Правда я зашквар может быть в другом, но это уже - и другой вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #39

38. Сообщение от Омномном анон (?), 16-Апр-24, 16:47	+/–
Тогда никто не будет покупать новые железки и вендоры разорятся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Аноним (-), 16-Апр-24, 16:59	+/–
> Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет > открываем код. Кому нужно - скачает, пофиксит, оьновит. Договориться это про деньги? Ну тогда все просто немножко подорожает) > Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать. А если у тебя в текущик железках код на 80% состоит из старого? Как ты объяснишь например инвесторам, что ты подарил 20 лет наработок миру и теперь китайцы радостно потирают руки? > Правда я зашквар может быть в другом, но это уже - и другой вопрос. Да, может быть и в другом, и даже в третем. Вон борода в костюме антилопы ставил ультиматумы на открытие виндовс7, но все закончилось очень предсказуемо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от тыквенное латте (?), 16-Апр-24, 21:35	+/–
никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖ lighttpd.net/2016/1/2/1.4.39/ Что до идти выпрашивать CVE в 2015 году - ну так сесуриту войтхэккеры для чего существуют? Он взял и написал в чейнджлоге, и сделал новость. Как и полагается. А белки-истерички могут идти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

41. Сообщение от Аноним (41), 17-Апр-24, 20:21	+/–
История про упаковку всего и вся в один блоб. Содержимое блоба никто не знает, автор не обновляет, самостоятельно тоже ничего не доступно. Сам по себе lighttpd тут не особо причём. Дело в способе использования зависимостей автором блоба.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема