Okta исправляет серьезную уязвимость безопасности: имена пользователей длиной более 52 символов могут обойти проверку входа в систему.
Директор по информационной безопасности SlowMist 23pds сообщил, что Okta позволяет любому имени пользователя длиной более 52 символов обойти вход в систему! Согласно объявлению поставщика программного обеспечения для управления идентификацией и доступом Okta, 30 октября была обнаружена внутренняя уязвимость при генерации ключей кэша для AD/LDAP DelAuth. Алгоритм Bcrypt используется для генерации ключа кэша, где мы хэшируем объединенную строку userId + имя пользователя + пароль. При определенных условиях это может позволить пользователю пройти аутентификацию только путем предоставления имени пользователя с сохраненным в кэше ключом от предыдущей успешной аутентификации. Суть этой уязвимости заключается в том, что каждый раз, когда для пользователя генерируется ключ кэша, имя пользователя должно быть равно или превышать 52 символа. Затронутые продукты и версии — Okta AD/LDAP DelAuth по состоянию на 23 июля 2024 г., а уязвимость была устранена в производственных средах Okta 30 октября 2024 г.
Дисклеймер: содержание этой статьи отражает исключительно мнение автора и не представляет платформу в каком-либо качестве. Данная статья не должна являться ориентиром при принятии инвестиционных решений.
Вам также может понравиться
Walletmobile делает смелую ставку в размере 9,95 млн долларов США на Трампа на выборах в США
Polymarket прогнозирует палату представителей Республиканской партии, обеспечившую Трампу тройной выигрыш
Хестер Пирс может заменить главу SEC Гэри Генслера при Трампе
Антон Силуанов заявил, что криптовалюты – хороший инструмент