[contribteam] [Bug 10347] Problème de sécurité

Mon, 12 Jun 2017 07:43:16 -0700 

https://bugs.contribs.org/show_bug.cgi?id=10347

            Bug ID: 10347
           Summary: Problème de sécurité
    Classification: Contribs
           Product: SME Contribs
           Version: 9.2
          Hardware: x86_64
                OS: ---
            Status: UNCONFIRMED
          Severity: critical
          Priority: P3
         Component: smeserver-mod_dav
          Assignee: smeserver-bugzi...@snetram.nl
          Reporter: spox...@gmail.com
        QA Contact: contribteam@lists.contribs.org
  Target Milestone: ---

Bonjour a tous,

voici mon problème sur une SME9.2 (fraichement installé) avec le protocole DAV: 

Avec le protocole DAV, les ibays concernés sont tous accessible par un même
utilisateur !!!

----------------------
Création de 2 groupes : groupe1 & groupe2

Création de 2 utilisateurs : user1 & user2
chaque utilisateur est dans son groupe uniquement : 
--- user1 -> groupe1
--- user2 -> groupe2

Création de deux ibays : ibay1 et ibay2
--- tout internet avec mot de passe
chaque ibay est dans son groupe uniquement : 
--- ibay1 -> groupe1
--- ibay2 -> groupe2


donc on a : 
--- user1 -> groupe1 -> ibay2
--- user2 -> groupe2 -> ibay1

On vérifie en SMB : 
--- \\serveur\ibay1\ seul le user1 peut s'y connecter
--- \\serveur\ibay2\ seul le user2 peut s'y connecter

Tout est ok !!! It's OK !
----------------------------------------
On installe le protocole DAV sur les 2 ibays :

db accounts setprop ibay1 ModDav enabled
signal-event ibay-modify ibay1

db accounts setprop ibay2 ModDav enabled
signal-event ibay-modify ibay2

---------------------------------------
Avec le protocole SMB, tout est OK !
Avec le protocole FTP, tout est OK !

Mais avec le protocole DAV ... BUGS !!!! tout le monde à tous les droits !!!!

on se connecte en HTTP (ou SMB) avec le lien : http://serveur/ibay1/
On entre le login user2 et ça marche !!!!!

Idem pour user1 sur ibay2 !!

En somme tout le monde a tous les droits dès qu'il font parti d'un groupe
utilisé par un ibay avec le protocole DAB !

Comment peut-on résoudre ce problème ?
cordialement
Spoxy

-- 
You are receiving this mail because:
You are the QA Contact for the bug.
_______________________________________________
Mail for each SME Contribs bug report
To unsubscribe, e-mail contribteam-unsubscr...@lists.contribs.org
Searchable archive at https://lists.contribs.org/mailman/public/contribteam/

Reply via email to