Okta: Lỗ hổng bảo mật nghiêm trọng "Tên người dùng dài hơn 52 ký tự có thể vượt qua xác thực đăng nhập" đã được khắc phục

Vào ngày 2 tháng 11, Okta, một nhà cung cấp phần mềm quản lý danh tính và truy cập, đã tiết lộ trong một bài đăng trên trang web của mình rằng vào ngày 30 tháng 10 năm 2024, một lỗ hổng nội bộ đã được phát hiện trong việc tạo khóa bộ nhớ đệm AD/LDAP DelAuth, trong đó thuật toán Bcrypt được sử dụng để tạo, trong đó chúng tôi băm chuỗi kết hợp của userId + username + password. Trong một số điều kiện nhất định, điều này có thể cho phép người dùng xác thực chỉ bằng cách cung cấp tên người dùng với khóa bộ nhớ đệm đã được xác thực thành công trước đó.

Okta cho biết lỗ hổng này phụ thuộc vào việc tên người dùng bằng hoặc lớn hơn 52 ký tự mỗi khi một khóa bộ nhớ đệm được tạo cho người dùng. Các sản phẩm và phiên bản bị ảnh hưởng là Okta AD/LDAP DelAuth tính đến ngày 23 tháng 7 năm 2024, và lỗ hổng đã được khắc phục vào ngày 30 tháng 10 năm 2024 trong môi trường sản xuất của Okta.