Actualización sobre la vulnerabilidad de Okta
El viernes por la tarde, Okta publicó una actualización inusual en su lista de avisos de seguridad. La última entrada revela que, en ciertas circunstancias, alguien podría haber iniciado sesión ingresando cualquier dato como contraseña, pero solo si el nombre de usuario de la cuenta tenía más de 52 caracteres.
Requisitos para explotar la vulnerabilidad
Según la nota que las personas reportaron haber recibido, otros requisitos para aprovechar la vulnerabilidad incluían que Okta verificara la caché de un inicio de sesión exitoso anterior, y que la política de autenticación de una organización no añadiera condiciones adicionales como exigir la autenticación multifactor (MFA).
Detalles sobre la vulnerabilidad identificada
Se han dado a conocer los detalles que están disponibles actualmente: el 30 de octubre de 2024, se identificó internamente una vulnerabilidad en la generación de la clave de caché para AD/LDAP DelAuth. El algoritmo Bcrypt fue…
Fuente y créditos: www.theverge.com
Cats:
