Fragen? Antworten! Siehe auch: Alternativlos
Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:
Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security AdvisoryNein, wirklich!
On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.
Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.Einmal mit Profis arbeiten!
Update: Die sind übrigens nicht völlig unfähig bei Okta. Die Krisenkommunikations-Abteilung ist top notch. Die haben wie beim letzten Mal schön alles zurückgehalten bis Freitag nach Dienstschluss. Schön den Schaden maximieren, und hoffen, dass das am Wochenende verdampft, bis die Leute am Montag andere Dinge zu tun haben.