Bug 5332 - userPassword не защищён от чтения в дефолтной настройке
: userPassword не защищён от чтения в дефолтной настройке
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/openldap-servers)
: unstable
: all Linux
: P2 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2004-10-15 02:26 by
Modified: 2005-08-31 02:11 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2004-10-15 02:26:58
openldap-servers-2.1.30-alt3

access to *
        by * read
Вот такая запись в дефолтном конфиге slapd.conf в секции каждой базы позволяет
читать аттрибуты userPassword, clearTextPassword любому (включая анонимного)
пользователю.

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
Такая запись в глобальной секции не запрещает чтение userPassword, поскольку эта
ACL начинает действие _после_ ACL'ей конкретной базы.
Неплохо бы по умолчанию добавить такой access и в секциях базы (и комментарий о
причине), потому что не прочитав slapd.access(5) о таком порядке действия правил
доступа догадаться трудно.
------- Comment #1 From 2004-10-27 18:57:06 -------
Исправлно в пакете openldap-2.2.18-alt1