Okta 修复了一个认证绕过漏洞，影响拥有长用户名或长域名的用户。

该漏洞可导致犯罪分子仅通过一个用户名就通过 Okta 公司的 AD/LDAP 授权验证。不过，只有当满足了一系列条件时，该漏洞才会被利用。其中一个条件是用户名为52个字符或更长。

虽然这么长的字符不常见，但一些用户会将邮件地址作为用户名，从而造成了这种可能性。Okta 在安全公告中提到，其它需要满足的条件是，用户此前是否认证，创造认证缓存；以及该缓存是否为首次使用，而“如果 AD/LDAP 代理因网络流量较高而宕机或者无法获取”则可能发生这种情况。

该漏洞由 Okta 公司在10月30日发现，当时该漏洞已在系统中游荡了三个月。虽然已修复，但Okta 仍然建议用户查看自7月23日起的日志中是否存在任何异常的认证尝试情况。

Okta 还建议客户至少执行多因素认证机制，而这并非利用的前提条件。目前尚不清楚是否存在在野利用尝试。Okta 尚未回复相关问题。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~