Okta: Krytyczna luka w zabezpieczeniach „Nazwy użytkowników o długości 52+ znaków mogą ominąć uwierzytelnianie logowania” naprawiona

2 listopada firma Okta, dostawca oprogramowania do zarządzania tożsamością i dostępem, ujawniła w poście na swojej stronie internetowej, że 30 października 2024 roku odkryto wewnętrzną podatność w generowaniu kluczy pamięci podręcznej AD/LDAP DelAuth, do której używany jest algorytm Bcrypt, w którym haszujemy połączony ciąg userId + username + password. W pewnych warunkach mogło to pozwolić użytkownikowi na uwierzytelnienie się jedynie poprzez podanie nazwy użytkownika z przechowywanym kluczem pamięci podręcznej, który wcześniej został pomyślnie uwierzytelniony.

Okta twierdzi, że ta podatność opiera się na tym, że nazwa użytkownika jest równa lub większa niż 52 znaki za każdym razem, gdy generowany jest klucz pamięci podręcznej dla użytkownika. Dotknięte produkty i wersje to Okta AD/LDAP DelAuth od 23 lipca 2024 roku, a podatność została rozwiązana 30 października 2024 roku w środowisku produkcyjnym Okta.