Okta：已修正「52字元以上使用者名稱可繞過登入驗證」的嚴重安全漏洞

Odaily星球日報訊 身分和存取管理軟體供應商Okta 官方發文稱，2024 年10 月30 日，內部發現了AD/LDAP DelAuth 產生快取金鑰時存在的漏洞，Bcrypt 演算法用於產生快取金鑰，其中我們對userId +用戶名+密碼的組合字串進行雜湊處理。在特定條件下，這可以允許使用者僅透過向使用者名稱提供先前成功身份驗證的儲存的快取金鑰來進行身份驗證。 此漏洞的前提是每次為使用者產生快取金鑰時，使用者名稱必須等於或超過52 個字元。受影響的產品和版本是截至2024 年7 月23 日的Okta AD/LDAP DelAuth，該漏洞已於2024 年10 月30 日在Okta 的生產環境中解決。