Okta: Kritische Sicherheitslücke „Benutzernamen mit mehr als 52 Zeichen können die Anmeldeauthentifizierung umgehen“ behoben

Am 2. November gab Okta, ein Anbieter von Identitäts- und Zugriffsmanagement-Software, in einem Beitrag auf seiner Website bekannt, dass am 30. Oktober 2024 eine interne Schwachstelle in der AD/LDAP DelAuth-Generierung von Cache-Schlüsseln entdeckt wurde, bei der der Bcrypt-Algorithmus zur Generierung verwendet wird, indem wir die kombinierte Zeichenkette aus userId + Benutzername + Passwort hashen. Unter bestimmten Bedingungen könnte dies einem Benutzer ermöglichen, sich nur durch Angabe des Benutzernamens mit einem gespeicherten Cache-Schlüssel zu authentifizieren, der zuvor erfolgreich authentifiziert wurde.

Okta sagt, dass diese Schwachstelle darauf beruht, dass der Benutzername jedes Mal, wenn ein Cache-Schlüssel für den Benutzer generiert wird, gleich oder größer als 52 Zeichen ist. Betroffene Produkte und Versionen sind Okta AD/LDAP DelAuth ab dem 23. Juli 2024, und die Schwachstelle wurde am 30. Oktober 2024 in Okta's Produktionsumgebung behoben.