Anomalie #21337
ferméLDAP Anonyme : tout utilisateur en base peut s'authentifier sans tenir compte du mot de passe
Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Echéance
04/07/2022supprimé - Statut changé de R&D - A étudier à R&D - En cours
- Assigné à
Emmanuel DILLARDsupprimé
Mis à jour par Quentin RIBAC il y a plus de 2 ans
Il est inscrit dans le manuel du serveur openldap :
Anonymous access is requested by providing no name and no password to the "simple" bind operation.
https://www.openldap.org/doc/admin24/security.html#Authentication%20Methods
C’est-à-dire que l’accès anonyme se fait en ne fournissant aucun identifiant, ce qui serait le cas dans l’anomalie décrite puisque l’identifiant n’existe pas dans l’annuaire ldap ; l’accès anonyme requiert également de ne spécifier aucun mot de passe, ce qui n’est pas le cas dans l’anomalie décrite, et n’est pas permis par Maarch Courrier : l’utilisateur est obligé de renseigner un mot de passe.
Ainsi l’anomalie n’est pas reproduite, si l’on parle d’authentification anonyme au sens openldap du terme tel que décrit dans le manuel lié ci-dessus.
Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/21337/21.03 de MaarchParapheur
FIX #21337 TIME 2:15 openldap auth: added check of entry count after search
https://labs.maarch.org/maarch/MaarchParapheur/commit/d5dfd5f66162f98e15cf5c8845ea2e44d06edd9a
Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/21337/develop de MaarchParapheur
FIX #21337 TIME 0:05 openldap auth: added check of entry count after search
https://labs.maarch.org/maarch/MaarchParapheur/commit/08a8f56051d86940e7a81596efbf47f500cc00a6
Mis à jour par Quentin RIBAC il y a plus de 2 ans
- Statut changé de R&D - En cours à R&D - En test
Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Echéance changé de 26/07/2022 à 09/08/2022
Mis à jour par Hamza HRAMCHI il y a plus de 2 ans
- Statut changé de R&D - En test à R&D - Terminé