Okta: Vulnerabilidade de Segurança Crítica "Nomes de Usuário com Mais de 52 Caracteres Podem Contornar Autenticação de Login" Corrigida

Em 2 de novembro, a Okta, um fornecedor de software de gerenciamento de identidade e acesso, divulgou em um post em seu site que, em 30 de outubro de 2024, foi descoberta uma vulnerabilidade interna na geração de chaves de cache do AD/LDAP DelAuth, que utiliza o algoritmo Bcrypt para gerar, no qual fazemos o hash da string combinada de userId + username + password. Sob certas condições, isso poderia permitir que um usuário se autenticase apenas fornecendo o nome de usuário com uma chave de cache armazenada que foi previamente autenticada com sucesso.

A Okta afirma que essa vulnerabilidade é baseada no nome de usuário ser igual ou superior a 52 caracteres cada vez que uma chave de cache é gerada para o usuário. Os produtos e versões afetados são o Okta AD/LDAP DelAuth a partir de 23 de julho de 2024, e a vulnerabilidade foi resolvida em 30 de outubro de 2024 no ambiente de produção da Okta.