30 Ekim 2024’te, Okta’nın AD/LDAP DelAuth sisteminde bir güvenlik açığı tespit edildi. Bu açık, kullanıcı kimlik doğrulama işlemi sırasında kullanılan önbellek anahtarının Bcrypt algoritmasıyla oluşturulmasından kaynaklanıyor. Eğer kullanıcı adı 52 karakter veya daha uzunsa, yalnızca kullanıcı adını girerek daha önceki başarılı bir kimlik doğrulama anahtarı ile doğrulama yapılabilir.
Etkilenen Ürünler ve Sürümler:
- Okta AD/LDAP DelAuth (23 Temmuz 2024 itibarıyla etkilenmektedir)
Çözüm: Bu güvenlik açığı, Okta’nın üretim ortamında 30 Ekim 2024 tarihinde çözülmüş ve algoritma PBKDF2 olarak değiştirilmiştir.
Bu koşulları karşılayan müşterilerin, 23 Temmuz 2024 – 30 Ekim 2024 tarihleri arasındaki sistem loglarını incelemeleri önerilmektedir.