Okta : Vulnérabilité de sécurité critique "Les noms d'utilisateur de plus de 52 caractères peuvent contourner l'authentification de connexion" corrigée

Le 2 novembre, Okta, un fournisseur de logiciels de gestion des identités et des accès, a révélé dans un post sur son site web que le 30 octobre 2024, une vulnérabilité interne a été découverte dans la génération de clés de cache AD/LDAP DelAuth, pour laquelle l'algorithme Bcrypt est utilisé pour générer, dans laquelle nous hachons la chaîne combinée de userId + nom d'utilisateur + mot de passe. Dans certaines conditions, cela pourrait permettre à un utilisateur de s'authentifier uniquement en fournissant le nom d'utilisateur avec une clé de cache stockée qui a été précédemment authentifiée avec succès.

Okta indique que cette vulnérabilité est conditionnée par le fait que le nom d'utilisateur soit égal ou supérieur à 52 caractères chaque fois qu'une clé de cache est générée pour l'utilisateur. Les produits et versions affectés sont Okta AD/LDAP DelAuth à partir du 23 juillet 2024, et la vulnérabilité a été résolue le 30 octobre 2024 dans l'environnement de production d'Okta.