Okta: ช่องโหว่ด้านความปลอดภัยที่ร้ายแรงได้รับการแก้ไขโดยที่ "ชื่อผู้ใช้ที่มีอักขระมากกว่า 52 ตัวสามารถข้ามการยืนยันการเข้าสู่ระบบได้"
2024-11-02 12:16
Odaily แพลนเน็ต เดลี่ Okta ผู้ให้บริการซอฟต์แวร์การจัดการข้อมูลประจำตัวและการเข้าถึงออกแถลงการณ์อย่างเป็นทางการว่าเมื่อวันที่ 30 ตุลาคม 2024 มีการค้นพบช่องโหว่ภายในเมื่อ AD/LDAP DelAuth สร้างคีย์แคช มีการใช้อัลกอริทึม Bcrypt เพื่อสร้างคีย์แคช ซึ่งเราเปรียบเทียบ userId + user สตริงชื่อ + รหัสผ่านที่รวมกันถูกแฮช ภายใต้เงื่อนไขบางประการ การดำเนินการนี้สามารถอนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยการระบุชื่อผู้ใช้พร้อมคีย์แคชที่เก็บไว้จากการตรวจสอบสิทธิ์ที่สำเร็จครั้งก่อนเท่านั้น หลักฐานของช่องโหว่นี้คือทุกครั้งที่สร้างคีย์แคชสำหรับผู้ใช้ ชื่อผู้ใช้จะต้องมีขนาดเท่ากับหรือเกิน 52 อักขระ ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบคือ Okta AD/LDAP DelAuth ณ วันที่ 23 กรกฎาคม 2024 และช่องโหว่ได้รับการแก้ไขในสภาพแวดล้อมการใช้งานจริงของ Okta เมื่อวันที่ 30 ตุลาคม 2024
บทความแนะนำ
