Kantan Reader

　米Okta, Inc.は、米国時間10月30日、AD/LDAP委任認証にてユーザー名が52文字以上の場合における脆弱性を社内で発見したと公表した。脆弱性は同日10月30日にOkta本番環境で修正済み。同社は脆弱性を悪用するために必要な前提条件を明確にするために11月4日にセキュリティアドバイザリを更新した。

　キャッシュキー生成にはBcryptアルゴリズムが使用され、ユーザーID + ユーザー名 + パスワードの結合文字列をハッシュ化する。その際、下記記載の6つの前提条件全てが揃った場合に、ユーザーは以前の認証に成功したキャッシュキーのユーザー名を入力することで認証される可能性があった。

（1）Okta AD/LDAP 委任認証が使用されている（2）MFA が適用されていない（3）ユーザー名が 52 文字以上である（4）ユーザーが以前に認証され、認証のキャッシュが生成されている（5）過剰なネットワークトラフィックによってAD/LDAPエージェントがダウンしていたり、リーチできないためにキャッシュが利用された場合（6）認証が米国時間2024年7月23日から10月30日の間に発生した

　Oktaはユーザーへの推奨事項として、上記（1）～（6）のすべての前提条件が該当するユーザーは、2024年7月23日から10月30日の期間に、52文字以上のユーザー名で予期せぬ認証が行われたかどうかについてのOkta System Logの調査を挙げている。

#	言葉	意味
8	認証	にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation
5	ユーザー名	ユーザーめい (ユーザー名) : username
3	文字	もじ (文字) : 1. letter (of alphabet); character 2. writing
3	脆弱性	ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility
3	前提条件	ぜんていじょうけん (前提条件) : precondition; prerequisite
2	米国	べいこく (米国) : (United States of) America; USA; US
2	時間	じかん (時間) : 1. time 2. hour
2	委任	いにん (委任) : entrusting; charge; delegation; authorization
2	生成	せいせい (生成) : creation; generation; formation; derivation
2	使用	しよう (使用) : use; application; employment; utilization; utilisation
2	以前	いぜん (以前) : ago; since; before; previous
1	にて	で : 1. at; in 2. at; when
1	おく	おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart
1	社内	しゃない (社内) : 1. within a company; in-house 2. within a shrine; shrine precincts
1	発見	はっけん (発見) : discovery; detection; finding
1	公表	こうひょう (公表) : official announcement; proclamation
1	同日	どうじつ (同日) : the same day
1	修正	しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix
1	済み	ずみ (済み) : arranged; taken care of; settled; completed; finished
1	同社	どうしゃ (同社) : the same firm
1	悪用	あくよう (悪用) : abuse; misuse; perversion
1	明確	めいかく (明確) : clear; precise; definite; distinct
1	更新	こうしん (更新) : renewal; update; innovation; improvement
1	結合	けつごう (結合) : 1. combination; union; binding; catenation; coupling; joining 2. bond
1	文字列	もじれつ (文字列) : character string
1	際	きわ (際) : 1. edge; brink; verge; side 2. time; moment of
1	下記	かき (下記) : the following
1	記載	きさい (記載) : mention (in a document); record; entry; statement; listing
1	全て	すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all
1	揃う	そろう (揃う) : 1. to be complete; to be all present; to make a full set; to be satisfied (of conditions) 2. to be equal; to be uniform; to be even; to match; to agree
1	成功	せいこう (成功) : success; hit
1	入力	にゅうりょく (入力) : input; (data) entry
1	可能性	かのうせい (可能性) : potentiality; likelihood; possibility; availability
1	適用	てきよう (適用) : applying (e.g. a technology); adoption
1	過剰	かじょう (過剰) : excess; surplus; superabundance; overabundance
1	よる	よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on
1	たり	たり : 1. -ing and -ing (e.g. "coming and going") 2. doing such things as...
1	発生	はっせい (発生) : 1. outbreak; spring forth; occurrence; incidence 2. generation (e.g. of power or heat); genesis; origin
1	推奨	すいしょう (推奨) : recommendation; endorsement
1	事項	じこう (事項) : matter; item; facts
1	上記	じょうき (上記) : above-mentioned; above-named; above
1	すべて	すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all
1	該当	がいとう (該当) : corresponding to; being applicable to; being relevant to; coming under; falling under; fulfilling (requirements); meeting (conditions); qualifying for
1	期間	きかん (期間) : period; term; interval
1	予期	よき (予期) : expectation; assume will happen; forecast
1	行う	おこなう (行う) : to perform; to do; to conduct oneself; to carry out
1	調査	ちょうさ (調査) : investigation; examination; inquiry; enquiry; survey

Published: 2024-11-06 08:00

Okta、AD/LDAP委任認証にてユーザー名が52文字以上の場合における脆弱性を公表