ADS Anmeldung mit "leerem" Passwort möglich

AlexanderMuth 2007-06-08 12:41:13 UTC #1

Hallo Liste,

mit egroupware Version 1.4.001 ist bei meiner Installation eine Anmeldung gegenüber Active Directory sowohl mit dem korrekten AD Passwort möglich als auch mit einem “leeren” Passwort.

AD läuft auf einem Windows Server 2003
Ich bin mit nicht sicher ob dieses Verhalten auch mit 1.2.106 auftrat.

Tritt dieses Verhalten auch bei anderen egroupware Installationen auf? Oder ist der Fehler eher in meinem AD zu suchen?
zu Information:
Apache mod_ldap Authentifizierung aus anderen Anwendungen gegenüber dem AD funktionieren wie gewünscht (ich weiß egroupware benutzt nicht mod_ldap).

vielen Dank für eure Hilfe

Alexander Muth

AlexanderMuth 2007-06-08 13:48:25 UTC #2

Nach einer Recherche liegt das daran das unser AD anonymous binds erlaubt und nach RFC 4513

5.1.2. Unauthenticated Authentication Mechanism of Simple Bind

An LDAP client may use the unauthenticated authentication mechanism
of the simple Bind method to establish an anonymous authorization
state by sending a Bind request with a name value (a distinguished
name in LDAP string form [RFC4514] of non-zero length) and specifying
the simple authentication choice containing a password value of zero
length.

Allerdings schlägt das RFC auch vor:

Unauthenticated Bind operations can have significant security issues
(see Section 6.3.1). In particular, users intending to perform
Name/Password Authentication may inadvertently provide an empty
password and thus cause poorly implemented clients to request
Unauthenticated access. Clients SHOULD be implemented to require
user selection of the Unauthenticated Authentication Mechanism by
means other than user input of an empty password. Clients SHOULD
disallow an empty password input to a Name/Password Authentication
user interface.

Also sollte egroupware verhindern das ein leeres Passwort eingetragen wird.

Sollte ich das als Bug Report oder Feature Request formulieren?

grüße

Alexander Muth

Ralf_Becker_6 2007-06-08 15:57:02 UTC #3

Hi Alexander,

danke für die Info

Bitte sende so was das nächste mal nicht an die öffentliche Liste
sondern an security@egroupware.org!

Ich habe mir den Code mal angeschaut: Für ADS (nicht aber LDAP) erlauben
wir tatsächlich einen Login mit einem leeren Passwort. Wenn dein AD so
konfiguriert ist, dass es anonyme Binds mit User und leerem Password
zulässt, dann kannst du dich tatsächlich in der eGW ohne Passwort
einlogen. Dieses Verhalten scheint bei AD aber nicht der Default zu
sein, sondern eine individuell Konfiguration bei euch.

Ich werde das jetzt fixen und in die Releasenotes aufnehmen. Im Moment
sehe ich keinen Grund deswegen ein neues Release zu bauen.

Ralf

AlexanderMuth schrieb:

AlexanderMuth wrote:

mit egroupware Version 1.4.001 ist bei meiner Installation eine Anmeldung
gegenüber Active Directory sowohl mit dem korrekten AD Passwort möglich
als auch mit einem “leeren” Passwort.

Nach einer Recherche liegt das daran das unser AD anonymous binds erlaubt
und nach RFC 4513

5.1.2. Unauthenticated Authentication Mechanism of Simple Bind

An LDAP client may use the unauthenticated authentication mechanism
of the simple Bind method to establish an anonymous authorization
state by sending a Bind request with a name value (a distinguished
name in LDAP string form [RFC4514] of non-zero length) and specifying
the simple authentication choice containing a password value of zero
length.

Allerdings schlägt das RFC auch vor:

Unauthenticated Bind operations can have significant security issues
(see Section 6.3.1). In particular, users intending to perform
Name/Password Authentication may inadvertently provide an empty
password and thus cause poorly implemented clients to request
Unauthenticated access. Clients SHOULD be implemented to require
user selection of the Unauthenticated Authentication Mechanism by
means other than user input of an empty password. Clients SHOULD
disallow an empty password input to a Name/Password Authentication
user interface.

Also sollte egroupware verhindern das ein leeres Passwort eingetragen wird.

Sollte ich das als Bug Report oder Feature Request formulieren?

grüße

Alexander Muth

–
Ralf Becker
eGroupWare Training & Support ==> http://www.egroupware-support.de
Outdoor Unlimited Training GmbH [www.outdoor-training.de]
Handelsregister HRB Kaiserslautern 3587
Geschäftsführer Birgit und Ralf Becker
Leibnizstr. 17, 67663 Kaiserslautern, Germany
Telefon +49 (0)631 31657-0

This SF.net email is sponsored by DB2 Express
Download DB2 Express C - the FREE version of DB2 express and take
control of your XML. No limits. Just data. Click to get it now.
http://sourceforge.net/powerbar/db2/

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

AlexanderMuth 2007-06-11 08:10:17 UTC #4

Hallo Ralf,
danke für den schnellen Fix!

Du hast damit Recht das unser AD für einige Objekte anonyme Binds zuläßt. Das ist notwendig um es einem OpenLDAP etwas ähnlicher zu machen.
Somit wird das Problem wohl nur sehr wenige AD Benutzer treffen.

viele Grüße

Alexander