Okta: Критическая уязвимость безопасности «Имена пользователей длиной более 52 символов могут обойти аутентификацию при входе» исправлена

2 ноября компания Okta, поставщик программного обеспечения для управления идентификацией и доступом, сообщила в посте на своем веб-сайте, что 30 октября 2024 года была обнаружена внутренняя уязвимость в генерации ключей кэша AD/LDAP DelAuth, для которой используется алгоритм Bcrypt, в котором мы хешируем объединенную строку userId + username + password. При определенных условиях это могло позволить пользователю аутентифицироваться, предоставив только имя пользователя с сохраненным ключом кэша, который ранее был успешно аутентифицирован.

Okta утверждает, что эта уязвимость обусловлена тем, что имя пользователя должно быть равно или превышать 52 символа каждый раз, когда для пользователя генерируется ключ кэша. Затронутые продукты и версии — Okta AD/LDAP DelAuth по состоянию на 23 июля 2024 года, и уязвимость была устранена 30 октября 2024 года в производственной среде Okta.