ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | userPassword не защищён от чтения в дефолтной настройке | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Vladimir Lettiev <crux> |
| Component: | openldap-servers | Assignee: | Serge A. Volkov <vserge> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P2 | CC: | boyarsh, imz, klark, ldv, shaba, slev, vitty, viy |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
Исправлно в пакете openldap-2.2.18-alt1 |
openldap-servers-2.1.30-alt3 access to * by * read Вот такая запись в дефолтном конфиге slapd.conf в секции каждой базы позволяет читать аттрибуты userPassword, clearTextPassword любому (включая анонимного) пользователю. access to attrs=userPassword by self write by anonymous auth by * none Такая запись в глобальной секции не запрещает чтение userPassword, поскольку эта ACL начинает действие _после_ ACL'ей конкретной базы. Неплохо бы по умолчанию добавить такой access и в секциях базы (и комментарий о причине), потому что не прочитав slapd.access(5) о таком порядке действия правил доступа догадаться трудно.