Project

General

Profile

Anomalie #21337

LDAP Anonyme : tout utilisateur en base peut s'authentifier sans tenir compte du mot de passe

Added by Emmanuel DILLARD 5 months ago. Updated 4 months ago.

Status:
Développé / Analysé (S)
Priority:
1-Majeur
Assignee:
Target version:
Start date:
06/28/2022
Due date:
08/09/2022
Tags Parapheur:
21.03.12

History

#2 Updated by Emmanuel DILLARD 5 months ago

  • Due date deleted (07/04/2022)
  • Status changed from A étudier to En cours de dev (S)
  • Assignee deleted (Emmanuel DILLARD)

#4 Updated by Emmanuel DILLARD 5 months ago

  • Due date set to 07/26/2022

#5 Updated by Quentin RIBAC 5 months ago

  • Assignee set to Quentin RIBAC

#6 Updated by Quentin RIBAC 5 months ago

Il est inscrit dans le manuel du serveur openldap :

Anonymous access is requested by providing no name and no password to the "simple" bind operation.

https://www.openldap.org/doc/admin24/security.html#Authentication%20Methods

C’est-à-dire que l’accès anonyme se fait en ne fournissant aucun identifiant, ce qui serait le cas dans l’anomalie décrite puisque l’identifiant n’existe pas dans l’annuaire ldap ; l’accès anonyme requiert également de ne spécifier aucun mot de passe, ce qui n’est pas le cas dans l’anomalie décrite, et n’est pas permis par Maarch Courrier : l’utilisateur est obligé de renseigner un mot de passe.

Ainsi l’anomalie n’est pas reproduite, si l’on parle d’authentification anonyme au sens openldap du terme tel que décrit dans le manuel lié ci-dessus.

#9 Updated by GIT LAB 5 months ago

Commit ajouté sur la branche fix/21337/21.03 de MaarchParapheur
FIX #21337 TIME 2:15 openldap auth: added check of entry count after search
https://labs.maarch.org/maarch/MaarchParapheur/commit/d5dfd5f66162f98e15cf5c8845ea2e44d06edd9a

#10 Updated by GIT LAB 5 months ago

Commit ajouté sur la branche fix/21337/develop de MaarchParapheur
FIX #21337 TIME 0:05 openldap auth: added check of entry count after search
https://labs.maarch.org/maarch/MaarchParapheur/commit/08a8f56051d86940e7a81596efbf47f500cc00a6

#11 Updated by Quentin RIBAC 5 months ago

  • Status changed from En cours de dev (S) to A tester (S)

#14 Updated by Emmanuel DILLARD 5 months ago

  • Tags Parapheur 21.03.12 added

#16 Updated by Emmanuel DILLARD 5 months ago

  • Due date changed from 07/26/2022 to 08/09/2022

#17 Updated by Hamza HRAMCHI 4 months ago

  • Status changed from A tester (S) to Développé / Analysé (S)

Also available in: Atom PDF