[l] Wenn sich Cisco, Fortinet, Crowdstrike und Ivanti ein Rennen liefern, da kann Okta nicht einfach tatenlos herumstehen!1!!

Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:

Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory

Nein, wirklich!

On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.

Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.

Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.

Einmal mit Profis arbeiten!

#fefebot #einmalmitprofisarbeiten #cisco