Dell、HP和联想设备使用过时的OpenSSL版本

对戴尔、惠普和联想设备的固件映像进行分析后发现，OpenSSL加密库存在过时版本，这突出了供应链风险。

EFI开发工具包，又名EDK，是统一可扩展固件接口（UEFI）的开源实现，该接口用作操作系统和设备硬件中嵌入的固件之间的接口。

固件开发环境正在进行第二次迭代（EDK II），它自带一个名为CryptoPkg的加密包，进而利用OpenSSL项目的服务。

根据固件安全公司Binarly的说法，与联想Thinkpad企业设备相关的固件映像被发现使用了三个不同版本的OpenSSL：0.9.8zb、1.0.0a和1.0.2j，最后一个版本于2018年发布。

此外，一个名为InfineonTpmUpdateDxe的固件模块依赖于2014年8月4日发布的OpenSSL 0.9.8zb版本。

“Infineon TpmUpdateDxe模块负责更新Infineon芯片上可信平台模块（TPM）的固件，”Binarly在上周的技术报告中解释道。

“这清楚地表明了第三方依赖关系的供应链问题，因为这些依赖关系似乎从未收到更新，即使是严重的安全问题”。

除了OpenSSL版本的多样性之外，联想和戴尔的一些固件包使用了2009年11月5日发布的更旧版本（0.9.8l）。同样，HP的固件代码使用了该库的10年版本（0.9.8w）。

设备固件在同一二进制包中使用多个版本的OpenSSL，这一事实突显了第三方代码依赖性如何在供应链生态系统中引入更多复杂性。

Binarly进一步指出了由于在固件中集成编译的二进制模块（也称为封闭源代码）而产生的所谓软件材料清单（SBOM）中的弱点。

该公司表示：“当涉及到编译代码以在二进制级别上进行验证时，我们认为迫切需要额外的SBOM验证层，即与供应商提供的实际SBOM相匹配的第三方依赖信息列表”。

“‘信任但验证’的方法是处理SBOM故障和降低供应链风险的最佳方法”。