公開日:2012/06/29 最終更新日:2012/10/31

JVNVU#971035
Simple Certificate Enrollment Protocol (SCEP) の実装に問題

概要

Simple Certificate Enrollment Protocol (SCEP) の実装には、問題が存在します。

影響を受けるシステム

Simple Certificate Enrollment Protocol (SCEP) を実装しているシステムが影響を受ける可能性があります。

詳細情報

一部のモバイルデバイス管理 (MDM) ツールは、Simple Certificate Enrollment Protocol (SCEP) を使用して、証明書の管理を行っています。そのようなシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されています。

想定される影響

他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性があります。

対策方法

ワークアラウンドを実施する
以下の回避策を適用することで、本問題の影響を軽減することが可能です。

  • 認証に SCEP ではなく Certificate Management Protocol (CMP) や Certificate Management over CMS を使用する
  • 信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する
  • 同一のチャレンジパスワードを使いまわししない
  • 証明書発行依頼ができるユーザを制限する

詳しくは参考情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本マイクロソフト株式会社 該当製品あり 2012/10/30

参考情報

  1. US-CERT Vulnerability Note VU#971035
    Simple Certificate Enrollment Protocol (SCEP) does not strongly authenticate certificate requests
  2. Certified Security Solutions
    The Use of the Simple Certificate Enrollment Protocol (SCEP) and Untrusted Devices
  3. IETF draft-nourse-scep-23
    Simple Certificate Enrollment Protocol

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2012/10/31
日本マイクロソフト株式会社のベンダステータスが更新されました