O se faʻafitauli ua faʻaalia i le MegaRAC firmware mai Amerika Megatrends (AMI), lea o loʻo faʻaaogaina i le BMC (Baseboard Management Controller) faʻaaogaina e le au gaosi oloa e faʻapipiʻi ai le puleaina o meafaigaluega tutoʻatasi, e faʻatagaina ai se tagata osofaʻi e leʻi faʻamaonia e faitau mamao mea o loʻo i totonu o le manatua o le. fa'agasologa e maua ai le fa'agaioiga o le 'upega tafa'ilagi. O le faʻafitauli e aliali mai i le firmware na tuʻuina mai talu mai le 2019 ma e mafua mai i le lafoina o se kopi tuai o le Lighttpd HTTP server o loʻo i ai se faʻafitauli faʻaletonu.
I le Lighttpd codebase, o lenei faʻafitauli na toe faʻaleleia i le 2018 i le version 1.4.51, ae na faia le faʻaleleia e aunoa ma le tuʻuina atu o se faʻamatalaga CVE ma e aunoa ma le lolomiina o se lipoti e faʻamatalaina ai le natura o le faʻafitauli. O le faʻasalalauga faʻasalalau na taʻua ai le faʻaleleia o le saogalemu, ae na taulaʻi i se faʻafitauli i mod_userdir e aofia ai le faʻaogaina o le ".." ma le "." i le username.
O le lisi o suiga na taʻua ai foi se faʻafitauli i le faʻaogaina o ulutala HTTP, ae o lenei mea na misia e le au faʻapipiʻi firmware ma e leʻi tuʻuina atu i le oloa, talu ai o le faʻamatalaga e uiga i le ono faʻaumatiaina o le faʻaogaina o le faʻaogaina o le faʻaogaina o le faʻaogaina o le vasega faʻaletonu na i ai i totonu. le tusiga o le tautinoga, ma i le lisi lautele e leai ni suiga na faia e faʻaalia ai o le mea sese e maua ai se avanoa e manatua pe a uma le saoloto.
O le fa'aletonu e mafai ai ona faitau mea o lo'o manatua i fafo atu o le pa'u tu'ufa'atasia. O le faʻafitauli e mafua mai i se pusa i le HTTP header merge code na faʻaaogaina pe a faʻamaonia le tele o taimi o le "If-Modified-Since" HTTP header. A'o fa'agasolo le fa'ata'ita'iga lona lua o le ulutala, na tu'uina atu e le lighttpd se pa'u fou e taofi ai le tau tu'ufa'atasia ma fa'asaoloto le manatua mo le pa'u o lo'o i ai le tau mai le ulutala muamua. I lenei tulaga, o le con->request.http_if_modified_since e leʻi suia le faʻailoga ma faʻaauau pea ona faʻasino i le vaega o manatua ua uma ona faʻasaʻoloto.
Talu ai na faʻaaogaina lenei faʻailoga i gaioiga faʻatusatusa mea o loʻo i totonu o le ulutala If-Modified-Since, o le taunuuga na mafua ai le faʻatupuina o tulafono faʻafoʻi eseese, e mafai e le tagata osofaʻi, i le malosi malosi, mateina mea fou o le manatua na i ai muamua. nofoia e le pate muamua. O le mataupu e mafai ona faʻaoga faʻatasi ma isi faʻafitauli, mo se faʻataʻitaʻiga e fuafua ai le faʻatulagaina o mafaufauga e faʻamalo ai auala saogalemu e pei ole ASLR (Address Space Randomization).
O le i ai o le faʻafitauli ua faʻamaonia i le Lenovo ma le Intel server platforms, ae o nei kamupani e le o fuafua e faʻasaʻo faʻafouga firmware ona o le maeʻa o le taimi lagolago mo oloa faʻaaogaina nei firmwares ma le maualalo o le mamafa o le faʻafitauli. O le faʻafitauli o loʻo faʻaalia i le firmware mo Intel M70KLP ma Lenovo HX3710, HX3710-F ma HX2710-E faʻavae (o loʻo i ai le faʻafitauli, faatasi ai ma isi mea, i lomiga fou firmware Lenovo 2.88.58 ma Intel 01.04.0030). E le gata i lea, o loʻo lipotia mai o le faʻafitauli i le lighttpd e faʻaalia foi i le firmware mo meafaigaluega Supermicro ma i totonu o sapalai e faʻaogaina le BMC controllers mai Duluth ma AETN.
puna: opennet.ru