Okta: Kritische Sicherheitslücke „Benutzernamen mit mehr als 52 Zeichen können die Anmeldeauthentifizierung umgehen“ behoben
Am 2. November gab Okta, ein Anbieter von Identitäts- und Zugriffsmanagement-Software, in einem Beitrag auf seiner Website bekannt, dass am 30. Oktober 2024 eine interne Schwachstelle in der AD/LDAP DelAuth-Generierung von Cache-Schlüsseln entdeckt wurde, bei der der Bcrypt-Algorithmus zur Generierung verwendet wird, indem wir die kombinierte Zeichenkette aus userId + Benutzername + Passwort hashen. Unter bestimmten Bedingungen könnte dies einem Benutzer ermöglichen, sich nur durch Angabe des Benutzernamens mit einem gespeicherten Cache-Schlüssel zu authentifizieren, der zuvor erfolgreich authentifiziert wurde.
Okta sagt, dass diese Schwachstelle darauf beruht, dass der Benutzername jedes Mal, wenn ein Cache-Schlüssel für den Benutzer generiert wird, gleich oder größer als 52 Zeichen ist. Betroffene Produkte und Versionen sind Okta AD/LDAP DelAuth ab dem 23. Juli 2024, und die Schwachstelle wurde am 30. Oktober 2024 in Okta's Produktionsumgebung behoben.
Haftungsausschluss: Der Inhalt dieses Artikels gibt ausschließlich die Meinung des Autors wieder und repräsentiert nicht die Plattform in irgendeiner Form. Dieser Artikel ist nicht dazu gedacht, als Referenz für Investitionsentscheidungen zu dienen.