Хакер #305. Многошаговые SQL-инъекции
Во многих устройствах Dell, HP и Lenovo используются старые и небезопасные версии OpenSSL, предупреждают специалисты компании Binarly.
Проблема кроется в опенсорсной среде EFI Development Kit II (EDK II), так как EDK II поставляется с собственным криптографическим пакетом CryptoPkg, а он, в свою очередь, полагается на OpenSSL. В итоге, по данным исследователей, прошивка, связанная с корпоративными устройствами Lenovo Thinkpad, использует сразу три разных версии OpenSSL (0.9.8zb, 1.0.0a и 1.0.2j), самая новая из которых была выпущена в 2018 году.
Более того, один из модулей прошивки (InfineonTpmUpdateDxe) и вовсе полагается на OpenSSL версии 0.9.8zb, выпущенной 4 августа 2014 года.
Помимо перечисленных версий OpenSSL, в некоторых прошивках Lenovo и Dell также задействована еще более старая версия (0.9.8l), которая была выпущена 5 ноября 2009 года. Код прошивки HP так же использовал версию OpenSSL 10-летней давности (0.9.8w).
Производитель | Версия OpenSSL | Дата выпуска |
Lenovo, Dell | 0.9.8l | 05 ноября 2009 г. |
Lenovo, Dell, HP | 0.9.8w | 24 апреля 2012 г. |
Lenovo, HP | 0.9.8zb | 06 августа 2014 г. |
Lenovo | 0.9.8zd | 08 января 2015 г. |
Lenovo | 0.9.8ze | 15 января 2015 г. |
Lenovo | 0.9.8zf | 19 марта 2015 г. |
Lenovo | 1.0.0a | 01 июня 2010 г. |
Lenovo | 1.0.2d | 09 июля 2015 г. |
Lenovo | 1.0.2f | 28 января 2016 г. |
Lenovo, Dell | 1.0.2g | 01 марта 2016 г. |
Lenovo | 1.0.2h | 03 мая 2016 г. |
Lenovo, Dell, HP | 1.0.2j | 26 сентября 2016 г. |
Lenovo, Dell | 1.0.2к | 26 января 2017 г. |
Lenovo, Dell, HP | 1.0.2u | 20 декабря 2019 г. |
Lenovo | 1.1.0b | 26 сентября 2016 г. |
Lenovo | 1.1.0g | 02 ноября 2017 г. |
Lenovo, Dell | 1.1.0h | 27 марта 2018 г. |
Lenovo, Dell | 1.1.0j | 20 ноября 2018 г. |
Lenovo | 1.1.1d | 10 сентября 2019 г. |
Lenovo, Dell | 1.1.1l | 24 августа 2021 г. |
Dell | 1.1.0e | 16 февраля 2017 г. |
Dell | 1.1.1n | 15 марта 2022 г. |
«Все это ясно указывает на проблему цепочек поставок со сторонними зависимостями, и создается впечатление, что эти зависимости никогда не получают обновлений даже для критически важных проблем», — пишут эксперты.
В отчет Binarly подчеркивается, что обнаруженная проблема ярко иллюстрирует ситуацию, когда сторонние зависимости значительно усложняют экосистему цепочки поставок.