OpenForum RSS: Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd https://www.opennet.ru/openforum/vsluhforumID3/133417.html В прошивках MegaRAC от компании American Megatrends (AMI), которые применяются в контроллерах BMC (Baseboard Management Сontroller), используемых производителями серверов для организации автономного управления оборудованием, выявлена уязвимость, позволяющая неаутентифицированному атакующему удалённо прочитать содержимое памяти процесса, обеспечивающего функционирование web-интерфейса. Уязвимость проявляется в прошивках, выпускаемых с 2019 года, и вызвана поставкой старой версии HTTP-сервера Lighttpd, содержащей неисправленную уязвимость...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60982<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#41 Wed, 17 Apr 2024 17:21:54 GMT История про упаковку всего и вся в один блоб. Содержимое блоба никто не знает, автор не обновляет, самостоятельно тоже ничего не доступно.<br><br>Сам по себе lighttpd тут не особо причём. Дело в способе использования зависимостей автором блоба.<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (тыквенное латте) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#40 Tue, 16 Apr 2024 18:35:00 GMT никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖ<br>lighttpd.net/2016/1/2/1.4.39/<br><br><br>Что до идти выпрашивать CVE в 2015 году - ну так сесуриту войтхэккеры для чего существуют?<br>Он взял и написал в чейнджлоге, и сделал новость. Как и полагается. А белки-истерички могут идти.<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#39 Tue, 16 Apr 2024 13:59:05 GMT &gt; Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет <br>&gt; открываем код. Кому нужно - скачает, пофиксит, оьновит.<br><br>Договориться это про деньги?<br>Ну тогда все просто немножко подорожает)<br><br>&gt; Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать.<br><br>А если у тебя в текущик железках код на 80% состоит из старого?<br>Как ты объяснишь например инвесторам, что ты подарил 20 лет наработок миру и теперь китайцы радостно потирают руки?<br><br>&gt; Правда я зашквар может быть в другом, но это уже - и другой вопрос.<br><br>Да, может быть и в другом, и даже в третем.<br>Вон борода в костюме антилопы ставил ультиматумы на открытие виндовс7, но все закончилось очень предсказуемо.<br><br><br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Омномном анон) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#38 Tue, 16 Apr 2024 13:47:40 GMT Тогда никто не будет покупать новые железки и вендоры разорятся<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#37 Mon, 15 Apr 2024 21:31:47 GMT Мне кажется, что тут вариант только договорится, что после ЕОЛ +х лет открываем код. Кому нужно - скачает, пофиксит, оьновит.<br><br>Кому не нужно, не скачает и не оьновит. Я с трудом понимаю, какой такой код будет актуален через, скажем 6-10 лет после ЕОЛ, что его будет зашкварно открывать.<br><br>Правда я зашквар может быть в другом, но это уже - и другой вопрос.<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (scriptkiddis) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#36 Mon, 15 Apr 2024 18:04:00 GMT А таким как ты бы весь мир монетизировать, все в монетках<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#35 Mon, 15 Apr 2024 12:10:41 GMT Репутация &#8212; очень ценный актив любой нормальной компании.<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#34 Mon, 15 Apr 2024 10:26:06 GMT Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольше. И в перспективе ваще перейти на NetBSD оно даже на 80386 до сих пор работает<br> Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133417.html#33 Mon, 15 Apr 2024 07:57:57 GMT &gt; Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости.<br><br>Правильно, зачем фиксы, иди и купи новый сервер. И эти говноеды ещё что-то кукарекают про выбросы CO2! Прикинь, если делать меньше новых серверов и дольше использовать старые, будет меньше выбросов CO2! Ах, да, тогда корпорации заработают меньше баксов. Да же Microsoft выпускало фиксы для своей &#8220;протухшей&#8221; винды! <br>