Bug 5332 - userPassword не защищён от чтения в дефолтной настройке
Summary: userPassword не защищён от чтения в дефолтной настройке
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: openldap-servers (show other bugs)
Version: unstable
Hardware: all Linux
: P2 normal
Assignee: Serge A. Volkov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2004-10-15 02:26 MSD by Vladimir Lettiev
Modified: 2005-08-31 02:11 MSD (History)
8 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2004-10-15 02:26:58 MSD 
openldap-servers-2.1.30-alt3

access to *
        by * read
Вот такая запись в дефолтном конфиге slapd.conf в секции каждой базы позволяет
читать аттрибуты userPassword, clearTextPassword любому (включая анонимного)
пользователю.

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
Такая запись в глобальной секции не запрещает чтение userPassword, поскольку эта
ACL начинает действие _после_ ACL'ей конкретной базы.
Неплохо бы по умолчанию добавить такой access и в секциях базы (и комментарий о
причине), потому что не прочитав slapd.access(5) о таком порядке действия правил
доступа догадаться трудно.
Comment 1 Serge A. Volkov 2004-10-27 18:57:06 MSD 
Исправлно в пакете openldap-2.2.18-alt1