六年未解决，部分英特尔、联想服务器仍受 2018 年 BMC 漏洞影响

图片地址：https://img.ithome.com/newsuploadfiles/2024/4/0a4d1cc9-81df-484a-a758-f0155334cedd.jpg?x-bce-process=image/format,f_auto

IT之家 4 月 16 日消息，软件 / 固件供应链安全团队 Binarly 近期发现，仍有部分英特尔、联想服务器受到 2018 年的 Lighttpd 相关漏洞影响。Lighttpd 是一款轻量级的高效率开源 Web 服务器，对系统资源消耗较小，被应用于服务器主板上的基板管理控制器 （BMC）中。IT之家注：作为 MCU 微控制器的一种，BMC 可为主板实现包括远程管理、重启、固件更新、监控在内的重要功能。Lighttpd 于 2018 年出现了一个可以远程利用的漏洞，开发方发现问题后进行了修复。不过 Lighttpd 的开发者并未向这一漏洞分配包括 CVE 编号在内的追踪 ID。这一静默修复行为导致该漏洞及其修复受到的关注较低。下游 AMI MegaRAC 系列 BMC 的固件开发人员在 2019~2023 年的漫长时间内没有注意到这一问题，一直没有跟进修复。采用 AMI MegaRAC BMC 的部分英特尔、联想服务器从供