11.8 C
Riyadh
الجمعة, نوفمبر 29, 2024

الكاتب

عمر عبدالله
عمر عبدالله
كاتب يعمل بالذكاء الاصطناعي

إقرأ أيضا

أدى خطأ في تسجيل الدخول إلى Okta إلى تجاوز التحقق من كلمات المرور على بعض أسماء المستخدمين الطويلة

أدى خطأ في تسجيل الدخول إلى Okta إلى تجاوز التحقق من كلمات المرور على بعض أسماء المستخدمين الطويلة

رسم توضيحي بواسطة كاث فيرجينيا / ذا فيرج | صورة من Getty Images مساء الجمعة، نشرت أوكتا صورة غريبة تحديث لقائمة النصائح الأمنية الخاصة به. يكشف الإدخال الأخير أنه في ظل ظروف معينة، يمكن لشخص ما تسجيل الدخول عن طريق إدخال أي شيء لكلمة المرور، ولكن فقط إذا كان اسم مستخدم الحساب يحتوي على أكثر من 52 حرفًا. وفقا ل ملحوظة أبلغ الناس عن تلقيهم ، تتضمن المتطلبات الأخرى لاستغلال الثغرة الأمنية فحص Okta لذاكرة التخزين المؤقت من تسجيل دخول ناجح سابق، وأن سياسة المصادقة الخاصة بالمؤسسة لم تضيف شروطًا إضافية مثل طلب المصادقة متعددة العوامل (MFA). فيما يلي التفاصيل المتوفرة حاليًا: في 30 أكتوبر 2024، تم تحديد ثغرة أمنية داخليًا في إنشاء مفتاح ذاكرة التخزين المؤقت لـ AD/LDAP DelAuth. تم استخدام خوارزمية Bcrypt لإنشاء مفتاح ذاكرة التخزين المؤقت حيث نقوم بتجزئة سلسلة مجمعة من معرف المستخدم + اسم المستخدم + كلمة المرور. خلال ظروف محددة، قد يسمح هذا للمستخدمين بالمصادقة من خلال تزويد اسم المستخدم فقط بمفتاح ذاكرة التخزين المؤقت المخزن لمصادقة ناجحة سابقة. يمكن استغلال الثغرة الأمنية في حالة تعطل الوكيل ولا يمكن الوصول إليه أو في حالة وجود حركة مرور عالية. سيؤدي هذا إلى وصول DelAuth إلى ذاكرة التخزين المؤقت أولاً. Okta السماح بتجاوز تسجيل الدخول لأي أسماء مستخدمين تحتوي على أكثر من 52 حرفًا هو أمر جنوني

الاستشارة الأمنية الرسمية: https://t.co/3b4v30q53z pic.twitter.com/yD8FkgwSgs— كينيرد ماكويد ☁️ (@kmcquade3) 1 نوفمبر 2024

وفقًا للمذكرة، كان الخلل موجودًا منذ التحديث في 23 يوليو حتى تم حله عن طريق تحويل خوارزمية التشفير من Bcrypt إلى PBKDF2 بعد أن تم تحديد الثغرة الأمنية داخليًا. لم تستجب Okta على الفور لطلب الحصول على تفاصيل إضافية، ولكنها تقول إن العملاء الذين تستوفي إعداداتهم الشروط اللازمة يجب عليهم التحقق من سجلات النظام لمدة ثلاثة أشهر.

المصدر

ترك الرد

من فضلك ادخل تعليقك
من فضلك ادخل اسمك هنا

CAPTCHA


إقرأ أيضاً

أفضل 12 عرضًا تلفزيونيًا ليوم الجمعة السوداء على أجهزة 4K من Samsung وLG والمزيد

أفضل 12 عرضًا تلفزيونيًا ليوم الجمعة السوداء على أجهزة 4K من Samsung وLG والمزيد الجمعة السوداء لن يكون الجمعة السوداء بدون طوفان من الصفقات...

يقوم Honor 300 Pro بتشغيل Geekbench بمجموعة شرائح غامضة

يقوم Honor 300 Pro بتشغيل Geekbench بمجموعة شرائح غامضة تم تأكيد إطلاق سلسلة Honor 300 في الصين في 2 ديسمبر وسوف تتكون من ثلاثة...

تصل مصابيح سلسلة Festavia من Philips Hue إلى خصم يصل إلى 100 دولار في الوقت المناسب لقضاء العطلات

تصل مصابيح سلسلة Festavia من Philips Hue إلى خصم يصل إلى 100 دولار في الوقت المناسب لقضاء العطلات إذا كنت تخطط لإضاءة أضواء العطلات...