Vendredi soir, Okta a publié un étrange mise à jour de sa liste d’avis de sécurité. La dernière entrée révèle que dans des circonstances spécifiques, quelqu’un aurait pu se connecter en saisissant n’importe quel mot de passe, mais seulement si le nom d’utilisateur du compte comportait plus de 52 caractères.
Selon le observe les personnes ont déclaré avoir reçu, D’autres exigences pour exploiter la vulnérabilité incluaient qu’Okta vérifie le cache à partir d’une précédente connexion réussie et que la politique d’authentification d’une organisation n’ajoute pas de situations supplémentaires telles que l’exigence d’une authentification multifacteur (MFA).
Voici les détails actuellement disponibles :
Le 30 octobre 2024, une vulnérabilité a été identifiée en interne lors de la génération de la clé de cache pour AD/LDAP DelAuth. L’algorithme Bcrypt était…
