PANews 11月2日訊息,身分和存取管理軟體供應商Okta 在其網站發文揭露,2024 年10 月30 日,內部發現了AD/LDAP DelAuth 產生快取金鑰時存在的漏洞,Bcrypt 演算法用於產生快取密鑰,其中我們對userId +用戶名+密碼的組合字串進行雜湊處理。在特定條件下,這可以允許使用者僅透過向使用者名稱提供先前成功身份驗證的儲存的快取金鑰來進行身份驗證。

Okta 表示,此漏洞的前提是每次為使用者產生快取金鑰時,使用者名稱必須等於或超過52 個字元。受影響的產品和版本是截至2024 年7 月23 日的Okta AD/LDAP DelAuth,該漏洞已於2024 年10 月30 日在Okta 的生產環境中解決。