Okta: Виправлено критичну вразливість безпеки "Імена користувачів довжиною понад 52 символи можуть обійти автентифікацію при вході"

2 листопада компанія Okta, постачальник програмного забезпечення для управління ідентифікацією та доступом, повідомила в публікації на своєму веб-сайті, що 30 жовтня 2024 року було виявлено внутрішню вразливість у генерації ключів кешу AD/LDAP DelAuth, для якої використовується алгоритм Bcrypt, де ми хешуємо об'єднаний рядок userId + username + password. За певних умов це може дозволити користувачу аутентифікуватися, лише надавши ім'я користувача з збереженим ключем кешу, який раніше був успішно аутентифікований.

Okta зазначає, що ця вразливість залежить від того, що ім'я користувача дорівнює або перевищує 52 символи кожного разу, коли генерується ключ кешу для користувача. Постраждалі продукти та версії - Okta AD/LDAP DelAuth станом на 23 липня 2024 року, а вразливість була усунена 30 жовтня 2024 року в виробничому середовищі Okta.