Новости Устаревшая версия OpenSSL в прошивках Dell, HP и Lenovo ставит под удар цепочки поставок

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Некоторые пакеты прошивок использовали версии OpenSSL 9 и 10-летней давности.​


z2vkhf28fkpuy3lrwydjwa13v4ov7am1.jpg


Анализ прошивки от Dell, HP и Lenovo выявил наличие устаревших версий криптографической библиотеки OpenSSL, что создает дополнительные риски для цепочек поставок.

EFI Dev Kit является кодом разработки, который используется для приложений, изображений микропрограмм и драйверов UEFI. А EFI Development Kit II поставляется с собственным криптографическим пакетом CryptoPkg, который, использует службы проекта OpenSSL.

По данным ИБ-компании Binarl, в прошивке устройств Lenovo Thinkpad использовались три различные версии OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последняя из которых была выпущена в 2018 году. Более того, один из модулей прошивки под названием InfineonTpmUpdateDxe использовал OpenSSL версии 0.9.8zb, которая вышла 4 августа 2014 года.

“Модуль InfineonTpmUpdateDxe отвечает за обновление прошивки Trusted Platform Module (TPM) на чипе Infineon”, – пишут специалисты Binarly в своем отчете.


content-img(827).png


По их словам, эта ситуация четко указывает на проблему цепочки поставок со сторонними зависимостями, которые не получают исправления даже для критических уязвимостей.

Стоит отметить, некоторые пакеты прошивок Lenovo и Dell использовали еще более старую версию (0.9.8l), которая вышла 5 ноября 2009 года. У HP наблюдается похожая проблема – некоторые прошивки используют версию OpenSSL 10-летней давности (0.9.8w).
 
Источник новости
https://www.securitylab.ru/news/535006.php

Похожие темы