위즈넷 3150w+ 칩 문의

#1

안녕하세요
저희 컨트롤러 내에 위즈넷 3150W+ 칩을 사용하고 있는데 아래 내용같이 보안검사 결과를 받았습니다.
컨트롤러에서는 lighttpd 어플리케이션을 사용하지 않고 있는데,
해당내용에 대해 위즈넷 3150W+ 칩 내에 lighttpd 어플리케이션이 내장되어 있는지 알고 싶습니다.

===========================================================================================

  • 보안검사 결과 아래와 같이 취약점이 발견되었으며, 보안 점검 실시 및 대책 필요

    • 보안 점검 결과 Log
    1. Lighttpd Use-After-Free Vulnerability
    2. Lighttpd Privilege Escalation Vulnerability
    3. Lighttpd Base64 DoS
    4. Lighttpd File Descriptor DoS
    5. Lighttpd SNI Weak SSL Ciphers Exposure
    • 문제점
      위의 로그확인 결과 컨트롤러 ethernet Chip에서 구동되고 있는 Lighttpd 어플리케이션의
      보안취약점으로 아래와 같은 문제점 존재

    1.사용자가 Internet Explorer를 이용하여 특수하게 제작된 웹페이지를 열람할 경우,
    원격코드가 실행될 수 있는 취약점이 존재
    2.시스템 권한 획득을 통해 악의의 프로그램을 실행가능
    3.DOS 공격으로 시스템 다운 발생
    4.악의 코드에 의해 계속적인 통신으로 시스템다운가능
    5.SSL 암호화 노출 가능
    2.기타 컨트롤러도 별도 보안성 점검 및 결과 확인 필요

===========================================================================================

#2

W3150+은 Fully Hardwired TCP/IP engine chip으로 순수 TCP/IP protocol stack만을 처리합니다.
lighttpd와 같은 Webserver Example은 현재 보유하고 있지 않으면, 간단한 보안없는 webserver example만 보유하고 있습니다.

보안 이슈는 System에 관련된 것으로 W3150 칩과 무관한 기능입니다.
보안은 칩 사용자가 시스템에 원하는 보안 알고리즘을 적용하시면 됩니다.