MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題（JVN）

IPAおよびJPCERT/CCは、一部のモバイルデバイス管理（MDM）ツールで使用される「Simple Certificate Enrollment Protocol（SCEP）」の実装に問題が存在するとJVNで発表した。

脆弱性と脅威セキュリティホール・脆弱性

109 views

2012.6.29 Fri 15:53

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月29日、一部のモバイルデバイス管理（MDM）ツールで使用される「Simple Certificate Enrollment Protocol（SCEP）」の実装に問題が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

SCEPを実装しているシステムでは、証明書の発行を依頼したユーザやデバイスの認証に問題があり、不適切な証明書が発行される危険性が指摘されている。この問題が悪用されると、他のユーザや管理者になりすまして証明書を取得され、本来アクセスできないシステムにアクセスされるなどの可能性がある。JVNでは「認証にSCEPではなくCMPや Certificate Management over CMSを使用する」「信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する」「同一のチャレンジパスワードを使いまわししない」「証明書発行依頼ができるユーザを制限する」といったことで、本問題の影響を軽減することが可能としている。

《吉澤亨史（ Kouji Yoshizawa ）》

特集

アクセスランキング

ランキングをもっと見る

PageTop

MDMツールで使用される「SCEP」の実装に、なりすましが可能な問題（JVN）

関連記事

Microsoft XMLコアサービスにコード実行の脆弱性、すでに攻撃を観測（JVN）

掲示板ソフト「WEB PATIO」に複数のXSS脆弱性（JVN）

掲示板ソフト「SmallPICT」にXSSの脆弱性、アップデートを（JVN）

アップルが「Java for Mac OS」の複数の脆弱性に対するアップデート公開（JVN）

特集

関連リンク

アクセスランキング

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

Lhaz および Lhaz+ にパストラバーサルの脆弱性

関連記事

Microsoft XMLコアサービスにコード実行の脆弱性、すでに攻撃を観測（JVN）

掲示板ソフト「WEB PATIO」に複数のXSS脆弱性（JVN）

掲示板ソフト「SmallPICT」にXSSの脆弱性、アップデートを（JVN）

アップルが「Java for Mac OS」の複数の脆弱性に対するアップデート公開（JVN）

特集

関連リンク

アクセスランキング

スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

Lhaz および Lhaz+ にパストラバーサルの脆弱性

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性