[Obm] Backend LemonLDAP -> mot de passe en clair dans les logs

Nicolas Schmitz Nicolas.Schmitz at ens-lyon.fr
Wed Jan 12 17:36:14 CET 2011 

Bonjour,
dans le même genre, également un peu gênant : si un utilisateur se 
trompe de mot de passe en faisant une synchro (iphone, Thunderbird...) 
le mauvais mot de passe apparait en clair dans les logs obm-sync. C'est 
moins grave que le vrai mot de passe, mais ça peut quand même donner des 
indications, voir un mot de passe valide sur d'autres systèmes.

Bien cordialement,
Nicolas Schmitz


Pascal MIETLICKI a écrit :
> Bonjour à tous,
>
> Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous 
> avons fait le choix d'utiliser lemonLDAP.
> Nous avons remarqué que, par défaut, les mots de passe étaient stockés 
> en clair dans la base. Nous avons corrigé ce problème via le 
> paramétrage (dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
> *"userobm_password_type"       => "MD5SUM"
> $password_encryption = "MD5SUM";*
>
> Ce stockage de mot de passe dans la base (alimentée automatiquement 
> via le connecteur) est nécessaire notamment pour la synchronisation 
> des clients d'agenda (lightning pour thunderbird) et des PDA.
>
> Cependant, nous avons remarqué que les mots de passe s'affiche 
> toujours en clair dans les fichiers de log lorsque debug_level est à 
> "DEBUG" ce qui est le cas par défaut (toujours dans 
> /etc/obm/obm_conf.inc). On voit donc les mots de passe des 
> utilisateurs se connectant en clair dans /var/log/apache2/error.log.
>
> Ces mots de passe s'affichent en clair pour la simple et bonne raison 
> que le mode debug affiche tous les entêtes HTTP configurés via le 
> manager de lemonLDAP. Il n'y a donc aucune distinction native entre un 
> entête non "sensible" tel que l'UID ou l'entête de mot de passe.
>
> Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de 
> conf. Mais cela représente pour nous un point critique, nous ne 
> voulons en effet absolument pas qu'un administrateur de notre système 
> ait la possibilité de découvrir les mots de passe de nos utilisateurs 
> en changeant ce paramétrage.
>
> Avez-vous déjà été confronté à ce problème et avez-vous trouvé une 
> solution?
>
> La seule solution que nous envisageons est de modifier les fichiers 
> sources du connecteur afin de verrouiller ce paramètre en empêchant ce 
> mode debug. Mais nous aimerions que cette modification soit pérenne. 
> Croyez-vous que nous devrions ouvrir un bug chez obm?
>
> En vous remerciant par avance pour toute l'aide et informations que 
> vous pourrez nous apporter.
>
> Cordialement,
> -- 
> Pascal MIETLICKI
> _______________________________________________
> Obm mailing list
> Obm at list.obm.org
> http://list.obm.org/mailman/listinfo/obm
>   


-- 
Nicolas Schmitz
================================
Ecole Normale Supérieure de Lyon
Direction des Systèmes d'Information
15, Parvis René-Descartes
69342 LYON Cedex 07.
Tél : 04 72 72 83 50


-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://list.obm.org/pipermail/obm/attachments/20110112/cb619348/attachment.htm

More information about the Obm mailing list