Okta：「52文字以上のユーザー名でログイン認証を回避できる」重大なセキュリティ脆弱性を修正

2024年10月30日、アイデンティティおよびアクセス管理ソフトウェアのプロバイダーであるOktaは、ウェブサイトの投稿で、AD/LDAP DelAuthのキャッシュキー生成における内部脆弱性が発見されたことを明らかにしました。この生成にはBcryptアルゴリズムが使用されており、userId + username + passwordの結合文字列をハッシュ化しています。特定の条件下では、以前に認証に成功したキャッシュキーを使用して、ユーザー名を提供するだけで認証が可能になる可能性があります。

Oktaによれば、この脆弱性は、キャッシュキーが生成されるたびにユーザー名が52文字以上であることが前提となっています。影響を受ける製品とバージョンは、2024年7月23日時点のOkta AD/LDAP DelAuthであり、この脆弱性は2024年10月30日にOktaの本番環境で解決されました。