| タイトル | Simple Certificate Enrollment Protocol (SCEP) の実装に問題 |
|---|---|
| 概要 | Simple Certificate Enrollment Protocol (SCEP) の実装には、問題が存在します。 一部のモバイルデバイス管理 (MDM) ツールは、Simple Certificate Enrollment Protocol (SCEP) を使用して、証明書の管理を行っています。そのようなシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されています。 |
| 想定される影響 | 他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性があります。 |
| 対策 | [ワークアラウンドを実施する] 以下の回避策を適用することで、本問題の影響を軽減することが可能です。 * 認証に SCEP ではなく Certificate Management Protocol (CMP) や Certificate Management over CMS を使用する * 信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する * 同一のチャレンジパスワードを使いまわししない * 証明書発行依頼ができるユーザを制限する 詳しくは参考情報をご確認ください。 |
| 公表日 | 2012年6月29日0:00 |
| 登録日 | 2012年7月5日16:06 |
| 最終更新日 | 2012年11月1日15:59 |
| CVSS2.0 : 注意 | |
| スコア | 1.4 |
|---|---|
| ベクター | AV:A/AC:H/Au:S/C:P/I:N/A:N |
| マイクロソフト |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2008 |
| Microsoft Windows Server 2008 R2 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年07月05日] 掲載 [2012年11月01日] 影響を受けるシステム:マイクロソフト (Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure) の情報を追加 影響を受けるシステム:マイクロソフト (Microsoft SCEP Implementation Whitepaper.) の情報を追加 ベンダ情報:マイクロソフト (Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure) を追加 ベンダ情報:マイクロソフト (Microsoft SCEP Implementation Whitepaper.) を追加 [2013年01月24日] CVSS による深刻度:基本値と脆弱性評価基準を追加 |
2018年2月17日10:37 |