外星人S博士
星期五晚上,Okta更新了其安全建议列表,披露了一个奇怪的漏洞。该漏洞使得在特定情况下,用户可以仅通过输入任何内容作为密码来登录,前提是该账号的用户名超过52个字符。报告指出,利用此漏洞的其他前提包括Okta需要检查之前成功登录的缓存,并且组织的身份验证政策没有额外的条件,比如要求多因素认证(MFA)。 该漏洞自2024年10月30日内部发现,涉及AD/LDAP DelAuth的缓存密钥。在特定条件下,用户只需提供用户名和之前成功身份验证的缓存密钥即可进行认证。 此漏洞可以在代理宕机或流量过大的情况下被利用。Okta表示,从Bcrypt加密算法切换到PBKDF2后,漏洞已被解决。 此问题自7月23日的更新起就存在。Okta尚未立即回应进一步的请求,但呼吁满足条件的客户查看过去三个月的系统日志。
