Во многих устройствах Dell, HP и Lenovo используются старые и небезопасные версии OpenSSL, предупреждают специалисты компании Binarly.

Проблема кроется в опенсорсной среде EFI Development Kit II (EDK II), так как EDK II поставляется с собственным криптографическим пакетом CryptoPkg, а он, в свою очередь, полагается на OpenSSL. В итоге, по данным исследователей, прошивка, связанная с корпоративными устройствами Lenovo Thinkpad, использует сразу три разных версии OpenSSL (0.9.8zb, 1.0.0a и 1.0.2j), самая новая из которых была выпущена в 2018 году.

Более того, один из модулей прошивки (InfineonTpmUpdateDxe) и вовсе полагается на OpenSSL версии 0.9.8zb, выпущенной 4 августа 2014 года.

Помимо перечисленных версий OpenSSL, в некоторых прошивках Lenovo и Dell также задействована еще более старая версия (0.9.8l), которая была выпущена 5 ноября 2009 года. Код прошивки HP так же использовал версию OpenSSL 10-летней давности (0.9.8w).

Производитель Версия OpenSSL Дата выпуска
Lenovo, Dell 0.9.8l 05 ноября 2009 г.
Lenovo, Dell, HP 0.9.8w 24 апреля 2012 г.
Lenovo, HP 0.9.8zb 06 августа 2014 г.
Lenovo 0.9.8zd 08 января 2015 г.
Lenovo 0.9.8ze 15 января 2015 г.
Lenovo 0.9.8zf 19 марта 2015 г.
Lenovo 1.0.0a 01 июня 2010 г.
Lenovo 1.0.2d 09 июля 2015 г.
Lenovo 1.0.2f 28 января 2016 г.
Lenovo, Dell 1.0.2g 01 марта 2016 г.
Lenovo 1.0.2h 03 мая 2016 г.
Lenovo, Dell, HP 1.0.2j 26 сентября 2016 г.
Lenovo, Dell 1.0.2к 26 января 2017 г.
Lenovo, Dell, HP 1.0.2u 20 декабря 2019 г.
Lenovo 1.1.0b 26 сентября 2016 г.
Lenovo 1.1.0g 02 ноября 2017 г.
Lenovo, Dell 1.1.0h 27 марта 2018 г.
Lenovo, Dell 1.1.0j 20 ноября 2018 г.
Lenovo 1.1.1d 10 сентября 2019 г.
Lenovo, Dell 1.1.1l 24 августа 2021 г.
Dell 1.1.0e 16 февраля 2017 г.
Dell 1.1.1n 15 марта 2022 г.

 

«Все это ясно указывает на проблему цепочек поставок со сторонними зависимостями, и создается впечатление, что эти зависимости никогда не получают обновлений даже для критически важных проблем», — пишут эксперты.

В отчет Binarly подчеркивается, что обнаруженная проблема ярко иллюстрирует ситуацию, когда сторонние зависимости значительно усложняют экосистему цепочки поставок.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии