×

Устаревшая версия OpenSSL в прошивках Dell, HP и Lenovo ставит под удар цепочки поставок

Устаревшая версия OpenSSL в прошивках Dell, HP и Lenovo ставит под удар цепочки поставок

Некоторые пакеты прошивок использовали версии OpenSSL 9 и 10-летней давности.

Анализ прошивки от Dell, HP и Lenovo выявил наличие устаревших версий криптографической библиотеки OpenSSL, что создает дополнительные риски для цепочек поставок.

EFI Dev Kit является кодом разработки, который используется для приложений, изображений микропрограмм и драйверов UEFI. А EFI Development Kit II поставляется с собственным криптографическим пакетом CryptoPkg, который, использует службы проекта OpenSSL.

По данным ИБ-компании Binarl, в прошивке устройств Lenovo Thinkpad использовались три различные версии OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последняя из которых была выпущена в 2018 году. Более того, один из модулей прошивки под названием InfineonTpmUpdateDxe использовал OpenSSL версии 0.9.8zb, которая вышла 4 августа 2014 года.

“Модуль InfineonTpmUpdateDxe отвечает за обновление прошивки Trusted Platform Module (TPM) на чипе Infineon”, – пишут специалисты Binarly в своем отчете.


По их словам, эта ситуация четко указывает на проблему цепочки поставок со сторонними зависимостями, которые не получают исправления даже для критических уязвимостей.

Стоит отметить, некоторые пакеты прошивок Lenovo и Dell использовали еще более старую версию (0.9.8l), которая вышла 5 ноября 2009 года. У HP наблюдается похожая проблема – некоторые прошивки используют версию OpenSSL 10-летней давности (0.9.8w).

Иранские хакеры взломали сайт французского сатирического издания Charlie Hebdo и украли данные 200 тыс. подписчиков

Информация, полученная хакерами, может подвести подписчиков издания к атакам в интернете и в реальной жизни.

На Бермудских островах произошло массовое отключение электричества

Жители остались без интернета и сотовой связи, но власти попросили их не мусорить на дорогах.

Национальной комиссии по этике в ИИ просит отрегулировать использование генеративных моделей в образовательных целях

Этическую проблему связанна с тем, что невозможно отличить текст, созданный ИИ, от текста, созданного человеком.