Am Freitagabend veröffentlichte Okta ein seltsames Update seiner Sicherheitshinweisliste. Der letzte Eintrag zeigt, dass sich jemand unter bestimmten Umständen mit der Eingabe eines beliebigen Passworts hätte anmelden können, allerdings nur, wenn der Benutzername des Kontos länger als 52 Zeichen war.
Zu den weiteren Anforderungen zur Ausnutzung der Schwachstelle gehörten laut der Mitteilung, dass Okta den Cache einer früheren erfolgreichen Anmeldung überprüft und dass die Authentifizierungsrichtlinie einer Organisation keine zusätzlichen Anforderungen wie die Anforderung einer Multi-Faktor-Authentifizierung (MFA) hinzufügt.
Hier sind die derzeit verfügbaren Details:
Am 30. Oktober 2024 wurde intern eine Schwachstelle bei der Cache-Schlüsselgenerierung für AD/LDAP DelAuth identifiziert. Der Bcrypt-Algorithmus war…
Weiterlesen…