网络安全公司Binarly的报告指出,六年前修补过的流行开源网络服务器中存在漏洞,可能影响了几种主要停产产品。
这个漏洞影响了Lighttpd,一款广受欢迎的开源Web服务器,经常被企业软件、数据中心和云提供商使用。尽管在2018年修复了这个错误,但Lighttpd的开发者没有公布或分配CVE来通知用户进行安全更新。一些产品依赖于这个漏洞修复前的Lighttpd版本,包括美国Megatrends国际公司的固件产品AMI MegaRAC。而一些受影响的产品已经结束生命周期,意味着没有供应商会提供安全修复更新。
Binarly发现了超过2000台设备存在这个漏洞,但真实影响可能更大。这种”永远的错误”可能导致缓冲区溢出攻击。一些公司对此做出回应,如联想正在评估影响,而英特尔表示由于设备已停产,将不提供更新。AMI和Lighttpd的开发者未对置评请求做出回应。
这个情况凸显了开源项目和企业产品供应链的复杂性,以及对安全性的日益关注,尤其是在Log4Shell漏洞被曝光后。