PANews는 11월 2일 ID 및 액세스 관리 소프트웨어 제공업체인 Okta가 자사 웹사이트를 통해 2024년 10월 30일 AD/LDAP DelAuth가 캐시 키를 생성하는 데 Bcrypt 알고리즘을 사용할 때 내부적으로 취약점을 발견했다고 밝혔습니다. . userId + 사용자 이름 + 비밀번호의 결합된 문자열을 해시하는 키입니다. 특정 조건에서는 이전에 성공한 인증에서 캐시된 키가 저장된 사용자 이름을 제공해야만 사용자가 인증할 수 있습니다.

Okta는 이 취약점은 사용자에 대해 캐시 키가 생성될 때마다 사용자 이름이 52자 이상이어야 한다는 사실을 전제로 한다고 말했습니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 기준 Okta AD/LDAP DelAuth이며, 해당 취약점은 Okta의 프로덕션 환경에서 2024년 10월 30일에 해결되었습니다.