Okta: 「52 文字を超えるユーザー名はログイン検証をバイパスできる」という重大なセキュリティ脆弱性が修正されました。

Odaily スタージャーナルによると ID およびアクセス管理ソフトウェア プロバイダーの Okta は、2024 年 10 月 30 日に、AD/LDAP DelAuth がキャッシュ キーを生成するために Bcrypt アルゴリズムを使用し、userId + user を比較した際に内部的に脆弱性が発見されたと公式に声明を発表しました。名前とパスワードを組み合わせた文字列がハッシュ化されます。これにより、特定の条件下では、以前に成功した認証で保存されたキャッシュされたキーをユーザー名に提供することによってのみユーザーが認証できるようになります。 この脆弱性の前提条件は、ユーザーのキャッシュ キーが生成されるたびにユーザー名が 52 文字以上でなければならないということです。影響を受ける製品とバージョンは、2024 年 7 月 23 日時点で Okta AD/LDAP DelAuth であり、脆弱性は Okta の実稼働環境で 2024 年 10 月 30 日に解決されました。