[Obm] Backend LemonLDAP -> mot de passe en clair dans les logs

Pascal MIETLICKI pascal.mietlicki at ac-toulouse.fr
Wed Jan 12 14:52:04 CET 2011 

Bonjour à tous,

Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous 
avons fait le choix d'utiliser lemonLDAP.
Nous avons remarqué que, par défaut, les mots de passe étaient stockés 
en clair dans la base. Nous avons corrigé ce problème via le paramétrage 
(dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
*"userobm_password_type"       => "MD5SUM"
$password_encryption = "MD5SUM";*

Ce stockage de mot de passe dans la base (alimentée automatiquement via 
le connecteur) est nécessaire notamment pour la synchronisation des 
clients d'agenda (lightning pour thunderbird) et des PDA.

Cependant, nous avons remarqué que les mots de passe s'affiche toujours 
en clair dans les fichiers de log lorsque debug_level est à "DEBUG" ce 
qui est le cas par défaut (toujours dans /etc/obm/obm_conf.inc). On voit 
donc les mots de passe des utilisateurs se connectant en clair dans 
/var/log/apache2/error.log.

Ces mots de passe s'affichent en clair pour la simple et bonne raison 
que le mode debug affiche tous les entêtes HTTP configurés via le 
manager de lemonLDAP. Il n'y a donc aucune distinction native entre un 
entête non "sensible" tel que l'UID ou l'entête de mot de passe.

Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de 
conf. Mais cela représente pour nous un point critique, nous ne voulons 
en effet absolument pas qu'un administrateur de notre système ait la 
possibilité de découvrir les mots de passe de nos utilisateurs en 
changeant ce paramétrage.

Avez-vous déjà été confronté à ce problème et avez-vous trouvé une solution?

La seule solution que nous envisageons est de modifier les fichiers 
sources du connecteur afin de verrouiller ce paramètre en empêchant ce 
mode debug. Mais nous aimerions que cette modification soit pérenne. 
Croyez-vous que nous devrions ouvrir un bug chez obm?

En vous remerciant par avance pour toute l'aide et informations que vous 
pourrez nous apporter.

Cordialement,
-- 
Pascal MIETLICKI
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://list.obm.org/pipermail/obm/attachments/20110112/4f954263/attachment.htm 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: pascal_mietlicki.vcf
Type: text/x-vcard
Size: 627 bytes
Desc: not available
Url : http://list.obm.org/pipermail/obm/attachments/20110112/4f954263/attachment.vcf

More information about the Obm mailing list