Dell、HP、Lenovoのファームウェアに古いバージョンのOpenSSLが存在

The Hacker Newsは11月25日(米国時間)、「Dell, HP, and Lenovo Devices Found Using Outdated OpenSSL Versions」において、Dell、HP、Lenovoの一部の製品で古いOpenSSLのバージョンが使われていると伝えた。Dell、HP、Lenovo製デバイスのファームウェアイメージを分析した結果、OpenSSLライブラリの古いバージョンが存在していることが判明し、サプライチェーンのリスクが顕在化していると指摘されている。

発見されたこれらのデバイスにはEFI Development Kit（EDK）というオープンソースのユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)実装が採用されている。このファームウェアの第2世代であるEDK IIで、CryptoPkgと呼ばれるオープンソースの暗号パッケージが使われており、CryptoPkgでOpenSSLが利用されていることが明らかとなった。

LenovoとDellの複数のファームウェアで古いバージョンである0.9.8lが使われており、HPのファームウェアにおいても、10年前のライブラリであるバージョン0.9.8wが使われていることが判明している。また、Lenovo Thinkpadエンタープライズデバイスに関連するファームウェアには、0.9.8zb、1.0.0a、1.0.2jと複数の古いバージョンを使用していることが確認されている。

The Hacker Newsは、重大な脆弱性が発見されたとしてもサードパーティの依存関係の問題により、アップデートされないというサプライチェーンの問題を明確に示していると指摘している。また、1つのファームウェアで異なる古いバージョンのOpenSSLを使用しているという事実は、サードパーティの依存性がサプライチェーンのエコシステムにさらなる複雑さをもたらしているとも伝えている。