https://bugs.contribs.org/show_bug.cgi?id=10347
Bug ID: 10347
Summary: Problème de sécurité
Classification: Contribs
Product: SME Contribs
Version: 9.2
Hardware: x86_64
OS: ---
Status: UNCONFIRMED
Severity: critical
Priority: P3
Component: smeserver-mod_dav
Assignee: smeserver-bugzi...@snetram.nl
Reporter: spox...@gmail.com
QA Contact: contribteam@lists.contribs.org
Target Milestone: ---
Bonjour a tous,
voici mon problème sur une SME9.2 (fraichement installé) avec le protocole DAV:
Avec le protocole DAV, les ibays concernés sont tous accessible par un même
utilisateur !!!
----------------------
Création de 2 groupes : groupe1 & groupe2
Création de 2 utilisateurs : user1 & user2
chaque utilisateur est dans son groupe uniquement :
--- user1 -> groupe1
--- user2 -> groupe2
Création de deux ibays : ibay1 et ibay2
--- tout internet avec mot de passe
chaque ibay est dans son groupe uniquement :
--- ibay1 -> groupe1
--- ibay2 -> groupe2
donc on a :
--- user1 -> groupe1 -> ibay2
--- user2 -> groupe2 -> ibay1
On vérifie en SMB :
--- \\serveur\ibay1\ seul le user1 peut s'y connecter
--- \\serveur\ibay2\ seul le user2 peut s'y connecter
Tout est ok !!! It's OK !
----------------------------------------
On installe le protocole DAV sur les 2 ibays :
db accounts setprop ibay1 ModDav enabled
signal-event ibay-modify ibay1
db accounts setprop ibay2 ModDav enabled
signal-event ibay-modify ibay2
---------------------------------------
Avec le protocole SMB, tout est OK !
Avec le protocole FTP, tout est OK !
Mais avec le protocole DAV ... BUGS !!!! tout le monde à tous les droits !!!!
on se connecte en HTTP (ou SMB) avec le lien : http://serveur/ibay1/
On entre le login user2 et ça marche !!!!!
Idem pour user1 sur ibay2 !!
En somme tout le monde a tous les droits dès qu'il font parti d'un groupe
utilisé par un ibay avec le protocole DAB !
Comment peut-on résoudre ce problème ?
cordialement
Spoxy
--
You are receiving this mail because:
You are the QA Contact for the bug.
_______________________________________________
Mail for each SME Contribs bug report
To unsubscribe, e-mail contribteam-unsubscr...@lists.contribs.org
Searchable archive at https://lists.contribs.org/mailman/public/contribteam/