SmallstepのStep CAにおける配列インデックスの検証に関する脆弱性
| Title |
SmallstepのStep CAにおける配列インデックスの検証に関する脆弱性
|
| Summary |
Step CAは、DevOps向けの安全で自動化された証明書管理のためのオンライン証明書機関です。バージョン0.24.0から0.30.0-rc3未満において、攻撃者はTPMデバイス認証中に空のExtended Key Usage (EKU)拡張を持つ細工された証明書(AK証明書)を送信することで、Step CAにインデックス範囲外のパニックを引き起こす可能性があります。TPM認証を用いたdevice-attest-01 ACMEチャレンジを処理する際、Step CAはAK証明書にtcg-kp-AIKCertificate拡張キー使用法OIDが含まれていることを検証します。この検証中にEKU拡張の値はASN.1表現からデコードされ、最初の要素がチェックされます。細工された証明書はEKU拡張に空のシーケンスがデコードされる可能性があり、そのため空のスライスの最初の要素にアクセスするとコードがパニックを起こします。この脆弱性は、TPM認証を使用するdevice-attest-01 ACMEチャレンジが設定されている場合にのみ発生します。TPMデバイス認証を使用していない導入環境には影響を与えません。この脆弱性は0.30.0-rc3で修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 10, 2026, midnight |
| Registration Date |
April 28, 2026, 10:11 a.m. |
| Last Update |
April 28, 2026, 10:11 a.m. |
|
CVSS3.0 : 低
|
| Score |
3.7
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
Affected System
| Smallstep |
|
Step CA 0.24.0 以上 0.30.0 未満
|
|
Step CA 0.30.0
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月28日]
掲載 |
April 28, 2026, 10:11 a.m. |
NVD Vulnerability Information
CVE-2026-40097
| Summary |
Step CA is an online certificate authority for secure, automated certificate management for DevOps. From 0.24.0 to before 0.30.0-rc3, an attacker can trigger an index out-of-bounds panic in Step CA by sending a crafted attestation key (AK) certificate with an empty Extended Key Usage (EKU) extension during TPM device attestation. When processing a device-attest-01 ACME challenge using TPM attestation, Step CA validates that the AK certificate contains the tcg-kp-AIKCertificate Extended Key Usage OID. During this validation, the EKU extension value is decoded from its ASN.1 representation and the first element is checked. A crafted certificate could include an EKU extension that decodes to an empty sequence, causing the code to panic when accessing the first element of the empty slice. This vulnerability is only reachable when a device-attest-01 ACME challenge with TPM attestation is configured. Deployments not using TPM device attestation are not affected. This vulnerability is fixed in 0.30.0-rc3.
|
| Publication Date |
April 11, 2026, 2:17 a.m. |
| Registration Date |
April 15, 2026, 11:36 a.m. |
| Last Update |
April 14, 2026, 12:02 a.m. |
Related information, measures and tools
Common Vulnerabilities List