دستگاههای Dell، HP و Lenovo با استفاده از نسخههای قدیمی OpenSSL پیدا شدند
تجزیه و تحلیل تصاویر میانافزار در سراسر دستگاههای Dell، HP و Lenovo وجود نسخههای قدیمی کتابخانه رمزنگاری OpenSSL را نشان میدهد که بر ریسک زنجیره تامین تاکید میکند.
کیت توسعه EFI، با نام مستعار EDK، یک پیادهسازی منبع باز از رابط میانافزار توسعهپذیر یکپارچه (UEFI) است که به عنوان رابط بین سیستمعامل و سفتافزار تعبیهشده در سختافزار دستگاه عمل میکند.
محیط توسعه سیستم عامل، که در دومین تکرار خود (EDK II) است، با بسته رمزنگاری خاص خود به نام CryptoPkg ارائه می شود که به نوبه خود از خدمات پروژه OpenSSL استفاده می کند.
طبق شرکت امنیتی سیستمافزار Binarly، تصویر میانافزار مرتبط با دستگاههای سازمانی Lenovo Thinkpad از سه نسخه مختلف OpenSSL استفاده میکند: 0.9.8zb، 1.0.0a و 1.0.2j که آخرین آن در سال 2018 منتشر شد.
Binarly در یک نوشته فنی هفته گذشته توضیح داد که ماژول مسئول به روز رسانی سیستم عامل ماژول پلتفرم قابل اعتماد (TPM) در تراشه Infineon InfineonTpmUpdateDxe است.
تنوع نسخههای OpenSSL را کنار بگذاریم، برخی از بستههای میانافزار Lenovo و Dell از نسخه حتی قدیمیتر (0.9.8l) استفاده میکردند که در 5 نوامبر 2009 منتشر شد. کد میانافزار HP نیز از نسخه 10 ساله استفاده میکرد. کتابخانه (0.9.8w).
این واقعیت که سفتافزار دستگاه از چندین نسخه OpenSSL در یک بسته باینری استفاده میکند، نشان میدهد که چگونه وابستگیهای کد شخص ثالث میتواند پیچیدگیهای بیشتری را در اکوسیستم زنجیره تامین ایجاد کند.
Binarly در ادامه به نقاط ضعف آنچه که صورتحساب مواد نرم افزاری (SBOM) نامیده می شود اشاره کرد که در نتیجه ادغام ماژول های باینری کامپایل شده (معروف به منبع بسته) در سیستم عامل ایجاد می شود.
این شرکت گفت: «ما در مورد کد کامپایل شده برای اعتبارسنجی در سطح باینری، لیستی از اطلاعات وابستگی شخص ثالث که با SBOM واقعی ارائه شده توسط فروشنده مطابقت دارد، نیاز فوری به یک لایه اضافی از اعتبارسنجی SBOM می بینیم.