慢霧首席資訊安全官23pds 發文稱,Okta 允許任何超過52 個字元的使用者名稱繞過登入!另據身分和存取管理軟體供應商Okta 公告稱,10 月30 日,在為AD/LDAP DelAuth 產生快取金鑰時內部發現了一個漏洞。 Bcrypt 演算法用於產生快取金鑰,其中我們對userId + 使用者名稱+ 密碼的組合字串進行雜湊處理。在特定條件下,這可以允許使用者僅透過向使用者名稱提供先前成功身份驗證的儲存體的快取金鑰來進行身份驗證。 此漏洞的前提是每次為使用者產生快取金鑰時,使用者名稱必須等於或超過52 個字元。受影響的產品和版本是截至2024 年7 月23 日的Okta AD/LDAP DelAuth,該漏洞已於2024 年10 月30 日在Okta 的生產環境中解決。
dark