---

前言

近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。

Lighttpd是一款开源Web服务器，以轻量级、快速且高效而闻名，非常适合高流量网站，同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。

---

一、漏洞潜伏六年，服务器供应链安全堪忧

安全公司Binarly的研究人员近日证实，英特尔、联想和超微（Supermicro）等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞，可被黑客利用泄露关键安全信息。研究人员进一步警告，任何使用美国佐治亚州Duluth公司（AMI）或中国台湾省AETN生产的特定型号的BMC（基板管理控制器）的服务器硬件都会受到影响。

BMC是焊接在服务器主板上的微型计算机，被云计算中心（有时也包括其客户）用于远程管理庞大的服务器集群。管理员可