Ranjivost o kojoj je reč utiče na Lighttpd – popularni proizvod za web server otvorenog koda poznat po svojoj fleksibilnosti i niskoj ceni resursa. Često se koristi u softveru za preduzeća, centrima podataka i od strane dobavljača usluga u cloud-u.

Niz događaja koji naglašavaju složenost obezbeđivanja softvera otvorenog koda i komplikovan lanac snabdevanja za proizvode preduzeća znači da će nekoliko široko korišćenih proizvoda koje proizvode ove kompanije verovatno sadržati ranjivu verziju Lighttpd-a u budućnosti.

Programeri Lighttpd-a su zakrpili grešku 2018. godine, ali nisu objavili ili dodelili CVE (Sistem uobičajene ranjivosti i izloženosti informacija) koji bi obavestio korisnike o bezbednosnom ažuriranju, navodi Binarly u svom izveštaju. Tehnološka kompanija American Megatrends International oslanja se na Lighttpd u delu firmvera poznatom kao AMI MegaRAC, ali firma nikada nije ažurirala svoju instancu Lighttpd-a da bi rešila ranjivost. To je omogućilo da verzija AMI MegaRAC-a koja sadrži ranjivu verziju Lighttpd-a bude uključena u seriju široko korišćenih Intel i Lenovo proizvoda.

Što je još gore, nekoliko pogođenih proizvoda je upravo došlo do kraja svog životnog veka ranije ove godine, što znači da za sada nijedan od dobavljača neće ažurirati svoje proizvode bezbednosnom ispravkom.

Alex Matrosov, suosnivač i izvršni Binarly direktor ovu ranjivosti naziva „večna greška“ zbog njihovog dugotrajnog uticaja i rekao je da one predstavljaju „ogromna“ pitanja za projekte otvorenog koda. Matrosov je rekao da je njegova firma pronašla više od 2.000 uređaja koji sadrže ranjivost Lighttpd, ali veruje da je pravi uticaj greške verovatno mnogo veći. Zajedno sa drugim greškama, ranjivost bi mogla dovesti do napada prekoračenja bafera, rekao je Matrosov.

Portparol kompanije Lenovo rekao je da je kompanija „svesna zabrinutosti AMI MegaRAC koju je identifikovao Binarly“ i da radi na identifikaciji „uticaja na Lenovo proizvode“. Portparol kompanije Intel je rekao da je „pogođeni uređaj trenutno na kraju svog životnog veka, što znači da neće biti obezbeđena funkcionalna, bezbednosna ili druga ažuriranja“.

Čini se da su programeri Lighttpd-a samo spomenuli bezbednosno ažuriranje u urezivanju na GitHub-u. Ali dok programeri otvorenog koda možda nisu kreirali CVE, AMI takođe izgleda da nije ažurirao svoju instancu Lighttpd-a od najmanje 2018. godine, kada je kod ažuriran sa bezbednosnom ispravkom.

Binarly izveštaj naglašava problem koji je postao sve veća briga za Bajdenovu administraciju, posebno nakon otkrića greške Log4Shell.

Administracija ispituje kako da radi sa zajednicom programera kako bi bolje obezbedio softver otvorenog koda iz kutije. Glavni dobavljači dugo koriste softver otvorenog koda i dok neki pomažu u razvoju ili doprinose resursima, još uvek postoji veliki broj programera koji rade uz malu pomoć na održavanju široko rasprostranjenog softvera.

Poslednjih nedelja, istraživač je otkrio lukavo dizajnirana pozadinska vrata umetnuta u popularni deo softvera otvorenog koda dizajniranog da pruži moćne mogućnosti špijunaže. Stručnjaci su taj incident opisali kao teško sprečenu katastrofu.

Kurir