PANews は 11 月 2 日、ID およびアクセス管理ソフトウェア プロバイダーである Okta が、2024 年 10 月 30 日に AD/LDAP DelAuth がキャッシュ キーの生成に Bcrypt アルゴリズムを使用する際に脆弱性を内部で発見したことを Web サイトで明らかにしたと報じました。 . userId + ユーザー名 + パスワードを組み合わせた文字列をハッシュするキー。これにより、特定の条件下では、以前に成功した認証で保存されたキャッシュされたキーをユーザー名に提供することによってのみユーザーが認証できるようになります。

Okta氏によると、この脆弱性はユーザーのキャッシュキーが生成されるたびにユーザー名が52文字以上でなければならないという事実が前提となっているという。影響を受ける製品とバージョンは、2024 年 7 月 23 日時点で Okta AD/LDAP DelAuth であり、脆弱性は Okta の実稼働環境で 2024 年 10 月 30 日に解決されました。