أوكتا: إصلاح ثغرة أمنية خطيرة "أسماء المستخدمين التي تزيد عن 52 حرفًا يمكنها تجاوز مصادقة تسجيل الدخول"

في 2 نوفمبر، كشفت شركة Okta، المزود لبرامج إدارة الهوية والوصول، في منشور على موقعها الإلكتروني أنه في 30 أكتوبر 2024، تم اكتشاف ثغرة داخلية في توليد مفاتيح التخزين المؤقت لـ AD/LDAP DelAuth، حيث يتم استخدام خوارزمية Bcrypt لتوليدها، حيث نقوم بتجزئة السلسلة المدمجة من userId + اسم المستخدم + كلمة المرور. في ظل ظروف معينة، يمكن أن يسمح ذلك للمستخدم بالمصادقة فقط عن طريق تقديم اسم المستخدم مع مفتاح التخزين المؤقت المخزن الذي تم المصادقة عليه بنجاح سابقًا.

تقول Okta إن هذه الثغرة تعتمد على أن يكون اسم المستخدم مساويًا أو أكبر من 52 حرفًا في كل مرة يتم فيها توليد مفتاح التخزين المؤقت للمستخدم. المنتجات والإصدارات المتأثرة هي Okta AD/LDAP DelAuth اعتبارًا من 23 يوليو 2024، وتم حل الثغرة في 30 أكتوبر 2024 في بيئة الإنتاج الخاصة بـ Okta.