來源
iThome新聞
內容
使用第三方開源元件的軟體開發者,通常不會逐一套用開源元件專案所有更新內容,而可能會選擇性處理重大變更及重要的安全性修補,將其納入自己採用的第三方元件,而這樣的情況,很有可能帶來軟體供應鏈安全的問題。
最近資安業者Binarly揭露的網頁伺服器元件Lighttpd漏洞,就是這種情形。該專案曾在2018年發布1.4.51版,默默地修補一項記憶體堆疊越界讀取漏洞,但並未在資安公告裡提及,也沒有登記CVE編號,使得採用Lighttpd但並未套用相關修補程式碼的AMI MegaRAC基板管理控制器(BMC),如今仍存在相關漏洞。