SlowMist 최고 정보 보안 책임자 23pds는 Okta가 52자 이상의 사용자 이름을 허용하면 로그인을 무시할 수 있다고 게시했습니다! 또한 ID 및 액세스 관리 소프트웨어 공급자인 Okta 발표에 따르면 10월 30일 AD/LDAP DelAuth에 대한 캐시 키를 생성할 때 내부적으로 취약성이 발견되었습니다. Bcrypt 알고리즘은 캐시 키를 생성하는 데 사용되며, 여기서 userId + username + 암호의 결합된 문자열을 해시합니다. 특정 조건에서는 이전에 성공적으로 인증된 저장된 캐시 키 이 취약성의 전제는 사용자에 대해 캐시 키가 생성될 때마다 사용자 이름이 52자 이상이어야 한다는 것입니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 현재 Okta AD/LDAP DelAuth로, 2024년 10월 30일 Okta의 프로덕션 환경에서 다루어졌습니다.