Okta：已修復“52 字符以上用戶名可繞過登錄驗證”的嚴重安全漏洞

ChainCatcher 消息，身份和訪問管理軟體提供商 Okta 官方發文稱，2024 年 10 月 30 日，內部發現了 AD/LDAP DelAuth 生成快取密鑰時存在的漏洞，Bcrypt 演算法用於生成快取密鑰，其中我們對 userId +用戶名+密碼的組合字串進行哈希處理。在特定條件下，這可以允許用戶僅通過向用戶名提供先前成功身份驗證的儲存的快取密鑰來進行身份驗證。

此漏洞的前提是每次為用戶生成快取密鑰時，用戶名必須等於或超過 52 個字元。受影響的產品和版本是截至 2024 年 7 月 23 日的 Okta AD/LDAP DelAuth，該漏洞已於 2024 年 10 月 30 日在 Okta 的生產環境中得到解決。