Page 1 of 1

Persönliche Logindaten werden an Spacemitglieder übermittelt

PostPosted: 03 Sep 2014, 17:33
by florian.koenig
Folgendes ist mir bei der Benutzung von Teamdrive mit einem eigenen WebDAV Server aufgefallen.

- Benutzer 1 erstellt einen Space auf WebDAV Server und benutzt dafür seine Logindaten für den WebDAV Server
- Benutzer 1 lädt Benutzer 2 in diesen Space ein
- Benutzer 2 kann nun über den Menüpunkt "Space"->"Server Einstellungen bearbeiten" die Logindaten von Benutzer 1 incl Klartextpasswort einsehen!

Meines Erachtens handelt es sich hierbei um eine schwerwiegende Sicherheitslücke.

Übrigens: Ändert nun Benutzer 2 in den Servereinstellungen die Logindaten auf seine eigenen, wird diese Änderung ebenfalls an alle Space-Mitglieder synchronisiert.

Re: Persönliche Logindaten werden an Spacemitglieder übermit

PostPosted: 14 Oct 2014, 10:24
by Detlef Schmuck
Hallo Herr König, dieses Verhalten ist ein Fehler und wird umgehend behoben.
Nur Mitglieder mit Administrationsrechten sollen die Möglichkeit haben die Server Zugangsdaten zu ändern.

Re: Persönliche Logindaten werden an Spacemitglieder übermit

PostPosted: 05 Nov 2014, 16:52
by ronfein
In welcher Version ist dieser Bug gefixt?
Danke.

Re: Persönliche Logindaten werden an Spacemitglieder übermit

PostPosted: 05 Dec 2014, 08:45
by ronfein
Dafür, dass es sich um eine schwerwiegende Sicherheitslücke handelt, wird das ziemlich stiefmütterlich behandelt - positiv formuliert.

Re: Persönliche Logindaten werden an Spacemitglieder übermit

PostPosted: 09 Dec 2014, 17:05
by florian.koenig
In Version 3.2.1 (Build: 809) (Linux) existiert das Problem weiterhin.

Re: Persönliche Logindaten werden an Spacemitglieder übermit

PostPosted: 15 Dec 2014, 19:24
by ronfein
Auch in der aktuellen Version (Windows 3.3.1 - 1047) ist das fremde Passwort einsehbar.