W piątkowy wieczór Okta opublikowała dziwny wpis aktualizację listy porad dotyczących bezpieczeństwa. Z najnowszego wpisu wynika, iż w określonych okolicznościach ktoś mógł się zalogować, wpisując dowolne hasło w zamian za hasło, ale tylko wtedy, gdy nazwa użytkownika konta zawierała ponad 52 znaki.
Według notatka osób zgłosiło otrzymanie, inne wymagania dotyczące wykorzystania luki obejmowały sprawdzenie przez Oktę pamięci podręcznej z poprzedniego udanego logowania oraz to, iż polityka uwierzytelniania organizacji nie dodała dodatkowych warunków, takich jak wymaganie uwierzytelniania wieloskładnikowego (MFA).
Oto szczegóły, które są w tej chwili dostępne:
30 października 2024 r. wewnętrznie zidentyfikowano lukę w generowaniu klucza pamięci podręcznej dla AD/LDAP DelAuth. Algorytm Bcrypt był…
