製品・ソフトウェアに関する情報
脆弱性検索
SmallstepのStep CAにおける配列インデックスの検証に関する脆弱性
タイトル SmallstepのStep CAにおける配列インデックスの検証に関する脆弱性
概要

Step CAは、DevOps向けの安全で自動化された証明書管理のためのオンライン証明書機関です。バージョン0.24.0から0.30.0-rc3未満において、攻撃者はTPMデバイス認証中に空のExtended Key Usage (EKU)拡張を持つ細工された証明書(AK証明書)を送信することで、Step CAにインデックス範囲外のパニックを引き起こす可能性があります。TPM認証を用いたdevice-attest-01 ACMEチャレンジを処理する際、Step CAはAK証明書にtcg-kp-AIKCertificate拡張キー使用法OIDが含まれていることを検証します。この検証中にEKU拡張の値はASN.1表現からデコードされ、最初の要素がチェックされます。細工された証明書はEKU拡張に空のシーケンスがデコードされる可能性があり、そのため空のスライスの最初の要素にアクセスするとコードがパニックを起こします。この脆弱性は、TPM認証を使用するdevice-attest-01 ACMEチャレンジが設定されている場合にのみ発生します。TPMデバイス認証を使用していない導入環境には影響を与えません。この脆弱性は0.30.0-rc3で修正されています。

想定される影響 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年4月10日0:00
登録日 2026年4月28日10:11
最終更新日 2026年4月28日10:11
CVSS3.0 : 低
スコア 3.7
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
影響を受けるシステム
Smallstep
Step CA 0.24.0 以上 0.30.0 未満
Step CA 0.30.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年04月28日]
  掲載		 2026年4月28日10:11
NVD脆弱性情報
CVE-2026-40097
概要

Step CA is an online certificate authority for secure, automated certificate management for DevOps. From 0.24.0 to before 0.30.0-rc3, an attacker can trigger an index out-of-bounds panic in Step CA by sending a crafted attestation key (AK) certificate with an empty Extended Key Usage (EKU) extension during TPM device attestation. When processing a device-attest-01 ACME challenge using TPM attestation, Step CA validates that the AK certificate contains the tcg-kp-AIKCertificate Extended Key Usage OID. During this validation, the EKU extension value is decoded from its ASN.1 representation and the first element is checked. A crafted certificate could include an EKU extension that decodes to an empty sequence, causing the code to panic when accessing the first element of the empty slice. This vulnerability is only reachable when a device-attest-01 ACME challenge with TPM attestation is configured. Deployments not using TPM device attestation are not affected. This vulnerability is fixed in 0.30.0-rc3.

公表日 2026年4月11日2:17
登録日 2026年4月15日11:36
最終更新日 2026年4月14日0:02
関連情報、対策とツール
共通脆弱性一覧