Okta: "52자를 초과하는 사용자 이름이 로그인 확인을 우회할 수 있는" 심각한 보안 취약점이 수정되었습니다.

Odaily 스타 데일리 뉴스 ID 및 액세스 관리 소프트웨어 제공업체인 Okta는 2024년 10월 30일 AD/LDAP DelAuth가 캐시 키를 생성하는 데 Bcrypt 알고리즘을 사용하여 userId + user를 비교했을 때 내부적으로 취약점이 발견되었다는 성명을 발표했습니다. 이름 + 비밀번호의 결합된 문자열이 해시됩니다. 특정 조건에서는 이전에 성공한 인증에서 캐시된 키가 저장된 사용자 이름을 제공해야만 사용자가 인증할 수 있습니다. 이 취약점의 전제는 사용자에 대해 캐시 키가 생성될 때마다 사용자 이름이 52자 이상이어야 한다는 것입니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 기준 Okta AD/LDAP DelAuth이며, 해당 취약점은 Okta의 프로덕션 환경에서 2024년 10월 30일에 해결되었습니다.