Okta исправляет серьезную уязвимость безопасности: имена пользователей длиной более 52 символов могут обойти проверку входа в систему.
Директор по информационной безопасности SlowMist 23pds сообщил, что Okta позволяет любому имени пользователя длиной более 52 символов обойти вход в систему! Согласно объявлению поставщика программного обеспечения для управления идентификацией и доступом Okta, 30 октября была обнаружена внутренняя уязвимость при генерации ключей кэша для AD/LDAP DelAuth. Алгоритм Bcrypt используется для генерации ключа кэша, где мы хэшируем объединенную строку userId + имя пользователя + пароль. При определенных условиях это может позволить пользователю пройти аутентификацию только путем предоставления имени пользователя с сохраненным в кэше ключом от предыдущей успешной аутентификации. Суть этой уязвимости заключается в том, что каждый раз, когда для пользователя генерируется ключ кэша, имя пользователя должно быть равно или превышать 52 символа. Затронутые продукты и версии — Okta AD/LDAP DelAuth по состоянию на 23 июля 2024 г., а уязвимость была устранена в производственных средах Okta 30 октября 2024 г.
Дисклеймер: содержание этой статьи отражает исключительно мнение автора и не представляет платформу в каком-либо качестве. Данная статья не должна являться ориентиром при принятии инвестиционных решений.
Вам также может понравиться
Суду по делу сооснователя Tornado Cash Романа Шторма изменили дату
BTC пробивает отметку в $69 500
Список важных событий вечера 2 ноября
Чистая прибыль Berkshire Hathaway в третьем квартале составила $26,25 млрд.