因供应链混乱,英特尔和联想过去几年销售的硬件都包含可远程利用且永远无法修复的漏洞。安全公司 Binarly 披露,漏洞影响英特尔、联想和超微(Supermicro)交付的服务器硬件,任何包含 AMI 或 AETN 制造的基板管理控制器(BMC)的硬件都受到影响。BMC 是服务器主板上的微型计算机,用于简化服务器集群的远程管理。它允许系统管理员远程重新安装操作系统、安装和卸载应用,控制系统的所有其它方面。包括 AMI 和 AETN 在内的 BMC 制造商采用了开源 Web 服务器 lighttpd 的存在漏洞的版本,利用漏洞攻击者能挫败名为地址空间布局随机化的内存地址保护。AMI 的 MegaRAC BMC 被认为最容易受到攻击的 BMC 之一,英特尔的 M70KLP 采用了该 BMC。
https://arstechnica.com/?p=2016577