Okta: Kerentanan Keamanan Kritis "Nama Pengguna Lebih dari 52 Karakter Dapat Melewati Autentikasi Login" Telah Diperbaiki

Pada tanggal 2 November, Okta, penyedia perangkat lunak manajemen identitas dan akses, mengungkapkan dalam sebuah posting di situs webnya bahwa pada tanggal 30 Oktober 2024, ditemukan kerentanan internal dalam pembuatan kunci cache AD/LDAP DelAuth, yang menggunakan algoritma Bcrypt untuk menghasilkan, di mana kami melakukan hash pada gabungan string userId + username + password. Dalam kondisi tertentu, ini dapat memungkinkan pengguna untuk mengautentikasi hanya dengan memberikan nama pengguna dengan kunci cache yang disimpan yang sebelumnya berhasil diautentikasi.

Okta mengatakan bahwa kerentanan ini bergantung pada nama pengguna yang sama dengan atau lebih dari 52 karakter setiap kali kunci cache dihasilkan untuk pengguna. Produk dan versi yang terpengaruh adalah Okta AD/LDAP DelAuth per 23 Juli 2024, dan kerentanan ini telah diselesaikan pada 30 Oktober 2024 di lingkungan produksi Okta.