Okta: Một lỗ hổng bảo mật nghiêm trọng đã được khắc phục trong đó "tên người dùng có hơn 52 ký tự có thể bỏ qua xác minh đăng nhập"

Odaily Thông tin Planet Daily Nhà cung cấp phần mềm quản lý quyền truy cập và danh tính Okta đã chính thức đưa ra tuyên bố cho biết rằng vào ngày 30 tháng 10 năm 2024, một lỗ hổng đã được phát hiện trong nội bộ khi AD/LDAP DelAuth tạo khóa bộ đệm. Thuật toán Bcrypt được sử dụng để tạo khóa bộ đệm, trong đó chúng tôi so sánh userId + user. Chuỗi kết hợp tên + mật khẩu được băm. Trong một số điều kiện nhất định, điều này có thể cho phép người dùng chỉ xác thực bằng cách cung cấp cho tên người dùng khóa được lưu trong bộ nhớ đệm từ lần xác thực thành công trước đó. Tiền đề của lỗ hổng này là mỗi lần tạo khóa bộ đệm cho người dùng, tên người dùng phải bằng hoặc vượt quá 52 ký tự. Các sản phẩm và phiên bản bị ảnh hưởng là Okta AD/LDAP DelAuth kể từ ngày 23 tháng 7 năm 2024 và lỗ hổng bảo mật đã được khắc phục trong môi trường sản xuất của Okta vào ngày 30 tháng 10 năm 2024.