Уязвимость в серверных материнских платах трех крупных вендоров

Исследователи обнаружили уязвимость в серверных материнских платах трех крупных вендоров: Intel, Lenovo и Supermicro.
Уязвимость связана с модулем Baseboard Management Controller, используемым для удаленного управления сервером.
Уязвимость может быть использована для чтения данных из оперативной памяти за пределами выделенного диапазона.
Уязвимость выявляет недоработки в цепочке поставок и была исправлена разработчиками lighthttpd в 2018 году.

Производители контроллеров BMC продолжили использовать уязвимую версию, обнаруженную в ряде контроллеров.
Уязвимость не была исправлена для некоторых устройств, выпущенных с обновлениями прошивки.
Intel и Lenovo отказались исправлять ошибку, так как подверженные устройства больше не поддерживаются.
Возможность чтения чувствительных данных из оперативной памяти представляет проблему, но может быть использована для обхода системы защиты ASLR.

Использование кода шестилетней давности в коммерческом продукте является не лучшей практикой.
В 2023 году Binarly обнаружила критические уязвимости в модулях, используемых Supermicro.