Projet

Général

Profil

Actions

Anomalie #21935

fermé

[Sécurité] Vulnérabilité brute force

Ajouté par Cyril VAZQUEZ il y a plus de 2 ans. Mis à jour il y a environ 2 ans.

Statut:
Clôturé
Priorité:
1-Majeur
Assigné à:
Version cible:
Début:
31/08/2022
Echéance:
30/09/2022
Tags RM:
2.8.X, 2.9.X

Description

Vulnérabilité de restriction incorrecte des tentatives d'authentification excessives qui pourrait permettre accès non autorisé lorsqu'un attaquant utilise la force brute.

Le code retour envoyé en cas d'utilisateur existant verrouillé est 403, lorsque le code pour un utilisateur inexistant est 401.

Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans

  • Statut changé de A qualifier à A traiter

Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans

  • Version cible changé de 2.9 à 2.9.1

Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans

  • Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER

Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans

  • Tags RM 2.8.X, 2.9.X ajouté

Mis à jour par Jérôme BOUCHER il y a plus de 2 ans

Modification du code HTTP de l'erreur retourné lorsqu'un utilisateur est verrouillé de 403 en 401.
Modification des messages d'erreurs retournés lorsqu'un utilisateur est verrouillé de "L'utilisateur est verrouillé" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
Modification des messages d'erreurs retournés lorsqu'un utilisateur fait une erreur de mot de passe de "Nom d'utilisateur et / ou mot de passe invalide" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"

À tester sur branche fix/21935_fix_brute_force_login_status_exposure

Mis à jour par Jérôme BOUCHER il y a plus de 2 ans

  • Statut changé de A traiter à En cours

Mis à jour par Jérôme BOUCHER il y a plus de 2 ans

  • Statut changé de En cours à R&D - En cours

Mis à jour par Jérôme BOUCHER il y a plus de 2 ans

  • Statut changé de R&D - En cours à R&D - En test

Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans

  • Statut changé de R&D - En test à Résolu

Publié sur maarchRM develop et 2.8.X (future 2.8.6)

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Statut changé de Résolu à R&D - Terminé

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Statut changé de R&D - Terminé à Résolu

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Statut changé de Résolu à A livrer

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Statut changé de A livrer à Livré

Mis à jour par Cyril VAZQUEZ il y a environ 2 ans

  • Statut changé de Livré à Clôturé
Actions

Formats disponibles : Atom PDF