forum.opennet.ru

"Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd"	+/–
Сообщение от opennews (??), 14-Апр-24, 22:48
В прошивках MegaRAC от компании American Megatrends (AMI), которые применяются в контроллерах BMC (Baseboard Management Сontroller), используемых производителями серверов для организации автономного управления оборудованием, выявлена уязвимость, позволяющая неаутентифицированному атакующему удалённо прочитать содержимое памяти процесса, обеспечивающего функционирование web-интерфейса. Уязвимость проявляется в прошивках, выпускаемых с 2019 года, и вызвана поставкой старой версии HTTP-сервера Lighttpd, содержащей неисправленную уязвимость... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60982
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd, opennews, 14-Апр-24, 22:48 [смотреть все]

Забавно, что lighttpd преподносит себя как _secure_, fast, compliant, and very , Аноним, 14-Апр-24, 23:05 (3) //
- То ли дело программные продукты, которые преподносят себя как _insecure_, slow,, YetAnotherOnanym, 14-Апр-24, 23:35 (6) //
  - У них есть одно существенное преимущество по сравнению с lighttpd честность , Аноним, 14-Апр-24, 23:54 (8) //
    - Как ты это преимущество монетизируешь , Аноним, 15-Апр-24, 08:29 (21)
      - Репутация 8212 очень ценный актив любой нормальной компании , Аноним, 15-Апр-24, 15:10 (35)
      - А таким как ты бы весь мир монетизировать, все в монетках, scriptkiddis, 15-Апр-24, 21:04 (36)
    - Это очень важно в эксплуатации, да , YetAnotherOnanym, 15-Апр-24, 09:11 (25)
      - Да, прикинь это важно Если разраб пытается замести уязвимости под ковер, то это , Аноним, 15-Апр-24, 10:51 (32)
- Так это не проблема с безопасностью была, а для кого надо функция Кому надо фун, Аноним, 15-Апр-24, 00:55 (13) //
  - Простой пользователь не обязан знать как работает программа , Аноним, 15-Апр-24, 07:32 (16) //
    - Так он и не знает, Прадед, 15-Апр-24, 08:25 (20)
    - Незнание как работает программа не освобождает от ответственности за её использо, Аноним, 15-Апр-24, 10:28 (29)
      - Шах и мат, юзер, Прадед, 15-Апр-24, 10:33 (30)
- никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖlight, тыквенное латте, 16-Апр-24, 21:35 (40)
- История про упаковку всего и вся в один блоб Содержимое блоба никто не знает, а, Аноним, 17-Апр-24, 20:21 (41)
Вообще конечно прикольно Фикс был готов много лет назад, но вендо его пропустил, Аноним, 14-Апр-24, 23:06 (4) //
- И внезапно - вреда от этой увизгвимости - никакого Какой вредный вендор, не хоч, нах., 14-Апр-24, 23:32 (5)
- То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в, Карлос Сношайтилис, 15-Апр-24, 00:13 (11) //
  - Их вины в поставке дырявой версии нет Ахахах, серьезно А чья тут вина, что ды, Аноним, 15-Апр-24, 00:49 (12) //
    - Они тоже не обязаны, прикинь Срок поддержки истёк, делайте чо хотите А вот если, Карлос Сношайтилис, 15-Апр-24, 01:37 (14)
      - Пришли какие-то мажоры , заюзали Lighttpd по тихому весь доход лично себе , а к, Аноним, 15-Апр-24, 02:42 (15)
        
        Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе, Карлос Сношайтилис, 15-Апр-24, 08:22 (19)
        
        Так и какие уязвимости публиковать тоже васян выбирает Тем более он может с тог, Аноним, 15-Апр-24, 08:33 (22)
        
        Вероятность этого не нулевая, но я всё же думаю, что разработчики просто портит, Карлос Сношайтилис, 15-Апр-24, 08:40 (24)
      - Ну теперь то истек А вопрос был о том почему не исправили раньше до того как ис, Аноним, 15-Апр-24, 08:00 (17)
        
        Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не зна, Карлос Сношайтилис, 15-Апр-24, 08:36 (23)
      - А вот если бы, да кабы 8212 во рту бы росли грибы Вендор не обязан обновлять, Аноним, 15-Апр-24, 10:46 (31)
  - То ли дело angie, там даже по 15 рублей платят , Аноним, 15-Апр-24, 09:36 (27)
Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор,, Аноним, 14-Апр-24, 23:49 (7) //
- Банальный DNS rebind 8212 и локальная дыра становится глобальной , Аноним, 14-Апр-24, 23:55 (9) //
  - И как ты дальше будешь хекать мой сервер через это Тут нужно знать адресс хоста, Аноним, 15-Апр-24, 00:11 (10) //
    - Он просто придёт к тебе с паяльником, чтобы за чашкой чая обсудить твою безопаст, Аноним, 15-Апр-24, 09:28 (26)
Правильно, зачем фиксы, иди и купи новый сервер И эти говноеды ещё что-то кукар, Аноним, 15-Апр-24, 10:57 (33) //
- Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольш, Аноним, 15-Апр-24, 13:26 (34)
Мне кажется, что тут вариант только договорится, что после ЕОЛ х лет открываем , Аноним, 16-Апр-24, 00:31 (37) //
- Тогда никто не будет покупать новые железки и вендоры разорятся, Омномном анон, 16-Апр-24, 16:47 (38)
- Договориться это про деньги Ну тогда все просто немножко подорожает А если у теб, Аноним, 16-Апр-24, 16:59 (39)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру