В прошивках MegaRAC от компании American Megatrends (AMI), которые применяются в контроллерах BMC (Baseboard Management Сontroller), используемых производителями серверов для организации автономного управления оборудованием, выявлена уязвимость, позволяющая неаутентифицированному атакующему удалённо прочитать содержимое памяти процесса, обеспечивающего функционирование web-интерфейса. Уязвимость проявляется в прошивках, выпускаемых с 2019 года, и вызвана поставкой старой версии HTTP-сервера Lighttpd, содержащей неисправленную уязвимость...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60982
Забавно, что lighttpd преподносит себя как "_secure_, fast, compliant, and very flexible web server". Secure в их понимании видимо скрытое устранение уязвимостей без лишней огласки. А ведь если копнуть там можно нарыть и такие прекрасные вещи https://redmine.lighttpd.net/issues/2700 для которых до сих пор нет CVE.
То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть.
> То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть.У них есть одно существенное преимущество по сравнению с lighttpd: честность.
Как ты это преимущество монетизируешь?
Репутация — очень ценный актив любой нормальной компании.
А таким как ты бы весь мир монетизировать, все в монетках
Это очень важно в эксплуатации, да.
Да, прикинь это важно.
Если разраб пытается замести уязвимости под ковер, то это проблема на порядок больше, чем софтина где их больше, но их нормально закрывают.Потому что ты не будешь просто так обновлять зависимость потому что "циферка увеличилась".
Для этого нужно причины, потому что обновление требует просмотреть все изменения, обновить, хорошо протестить на регрессии и только тогда в прод. Думаю именно этим подходом руководствовались разрабы AMI. А исправление CVE это знак о необходимости обновиться. При нормальной публикации у тебя есть время на это.А если автор в крысу закрывает уязвимости без идентификаторов, то автор п#####сина, а его поделие нужно заменить как можно быстрее. Потому что доверия ему нет.
Так это не проблема с безопасностью была, а для кого надо функция. Кому надо функция перестала быть нужна, вот её и убрали. А кто софт бесплатно юзает, а сам его не аудирует - тот сам виноват. AS IS, читать лицензию надо.
Простой пользователь не обязан знать как работает программа.
Так он и не знает
Незнание как работает программа не освобождает от ответственности за её использование.
Шах и мат, юзер
никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖ
lighttpd.net/2016/1/2/1.4.39/
Что до идти выпрашивать CVE в 2015 году - ну так сесуриту войтхэккеры для чего существуют?
Он взял и написал в чейнджлоге, и сделал новость. Как и полагается. А белки-истерички могут идти.
История про упаковку всего и вся в один блоб. Содержимое блоба никто не знает, автор не обновляет, самостоятельно тоже ничего не доступно.Сам по себе lighttpd тут не особо причём. Дело в способе использования зависимостей автором блоба.
Вообще конечно прикольно. Фикс был готов много лет назад, но вендо его пропустил. А теперь не будет обновлять, потому что срок поддержки вышел. Это для таких компаний наверно хотели ввести ответственность за дыры в стороннем ПО, которое они заюзали у себя
И внезапно - вреда от этой увизгвимости - никакого. Какой вредный вендор, не хочет херней пострадать.
То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в принципе нормально, кроме того, из вины в поставке дырявой версии нет.А вот господа из lighttpd поступили не просто по-свински, а, буквально, совершили диверсию.
У всех крупных организаций существует процесс обнаружения уязвимостей ПО. Уровень разный, но база – проверка наличия CVE по номеру версии. Если CVE не опубликована, а исправлена втихую, то подобные сканеры не будут ругаться и версия уйдет в поставку.
PS: Не зря я вчера писал, что ребятки не вызывают доверия из-за кривого сайта. Да, звучит смешно, но чуйка не подвела.
Их вины в поставке дырявой версии нет? Ахахах, серьезно? А чья тут вина, что дырявая версия в их продукте оказалась?А автор lighttpd так-то ваще им ничем не обязан. Сами должны были чекать. Сканер, блин, у них нет сработал в крупной организации.
Они тоже не обязаны, прикинь?Срок поддержки истёк, делайте чо хотите.
А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление.
Но имеем что имеем – никто не виноват, но все – в заднице.
Пришли какие-то мажоры , заюзали Lighttpd по тихому (весь доход лично себе), а крайние теперь апстрим? Смешно...
Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе.
Лицензию выбирают разработчики и это их выбор.
Так и какие уязвимости публиковать тоже васян выбирает. Тем более он может с того что втихую добавил и в тихую убрал получить больше дохода чем эти корпы. А крайние пользователи, которых нагнули.
Вероятность этого не нулевая, но я всё же думаю, что разработчики просто "портить статистику" для своего проекта не хотели
> Они тоже не обязаны, прикинь?
> Срок поддержки истёк, делайте чо хотитеНу теперь то истек. А вопрос был о том почему не исправили раньше до того как истек? Отмазки про то, что cve не было и наш сканер в крупной организации, где доход миллиарды баксов, не сработал- это отмазка на уровне детского сада
Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не знает, все только "отмазки детского сада" лепят.Даже ядро выходит с кучей ошибок, а на его тестирование тратиться охулиард денег, у Гугла фермы с фазингом сжирают бюджет небольшой области, но аноним с опеннета знает способы понадёжнее, кажется.
>А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление.А вот если бы, да кабы — во рту бы росли грибы. Вендор не обязан обновлять либы, даже в случае уявимости. А ты сам их обновить легально не можешь. И даже если вендор выпустит обновление прошивки просто с обновлением либ, никто не гарантирует, что оно будет бесплатным, а не специально за такую цену, за которую ты предпочтёшь новую мат. плату купить.
То ли дело angie, там даже по 15 рублей платят?
Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор, а такого админа надо гнать мокрыми тряпками.
Банальный DNS rebind — и локальная дыра становится глобальной.
И как ты дальше будешь хекать мой сервер через это? Тут нужно знать адресс хоста BMC для которого делать rebind,
потом найти CSRF (например добавить юзера), заставить админа кликнуть на левую ссылку, а потом тыкнуть в консоль,
которая в тех версиях еще в Java аплете. Ну так себе цепочка.
Он просто придёт к тебе с паяльником, чтобы за чашкой чая обсудить твою безопастность.
> Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости.Правильно, зачем фиксы, иди и купи новый сервер. И эти говноеды ещё что-то кукарекают про выбросы CO2! Прикинь, если делать меньше новых серверов и дольше использовать старые, будет меньше выбросов CO2! Ах, да, тогда корпорации заработают меньше баксов. Да же Microsoft выпускало фиксы для своей “протухшей” винды!
Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольше. И в перспективе ваще перейти на NetBSD оно даже на 80386 до сих пор работает
Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет открываем код. Кому нужно - скачает, пофиксит, оьновит.Кому не нужно, не скачает и не оьновит. Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать.
Правда я зашквар может быть в другом, но это уже - и другой вопрос.
Тогда никто не будет покупать новые железки и вендоры разорятся
> Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет
> открываем код. Кому нужно - скачает, пофиксит, оьновит.Договориться это про деньги?
Ну тогда все просто немножко подорожает)> Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать.
А если у тебя в текущик железках код на 80% состоит из старого?
Как ты объяснишь например инвесторам, что ты подарил 20 лет наработок миру и теперь китайцы радостно потирают руки?> Правда я зашквар может быть в другом, но это уже - и другой вопрос.
Да, может быть и в другом, и даже в третем.
Вон борода в костюме антилопы ставил ультиматумы на открытие виндовс7, но все закончилось очень предсказуемо.