Okta: แก้ไขช่องโหว่ความปลอดภัยร้ายแรง “ชื่อผู้ใช้ยาวกว่า 52 ตัวอักษรสามารถข้ามการยืนยันตัวตนได้”

เมื่อวันที่ 2 พฤศจิกายน Okta ผู้ให้บริการซอฟต์แวร์การจัดการตัวตนและการเข้าถึง ได้เปิดเผยในโพสต์บนเว็บไซต์ของตนว่าเมื่อวันที่ 30 ตุลาคม 2024 ได้ค้นพบช่องโหว่ภายในในการสร้างคีย์แคชของ AD/LDAP DelAuth ซึ่งใช้อัลกอริทึม Bcrypt ในการสร้าง โดยที่เราทำการแฮชสตริงที่รวมกันของ userId + username + password ภายใต้เงื่อนไขบางประการ อาจทำให้ผู้ใช้สามารถยืนยันตัวตนได้เพียงแค่ให้ username พร้อมกับคีย์แคชที่ถูกเก็บไว้ซึ่งเคยยืนยันตัวตนสำเร็จมาก่อน

Okta กล่าวว่าช่องโหว่นี้ขึ้นอยู่กับการที่ username มีความยาวเท่ากับหรือมากกว่า 52 ตัวอักษรทุกครั้งที่มีการสร้างคีย์แคชสำหรับผู้ใช้ ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบคือ Okta AD/LDAP DelAuth ณ วันที่ 23 กรกฎาคม 2024 และช่องโหว่นี้ได้รับการแก้ไขในวันที่ 30 ตุลาคม 2024 ในสภาพแวดล้อมการผลิตของ Okta