Persönliche Logindaten werden an Spacemitglieder übermittelt

Persönliche Logindaten werden an Spacemitglieder übermittelt

Postby florian.koenig » 03 Sep 2014, 17:33

Folgendes ist mir bei der Benutzung von Teamdrive mit einem eigenen WebDAV Server aufgefallen.

- Benutzer 1 erstellt einen Space auf WebDAV Server und benutzt dafür seine Logindaten für den WebDAV Server
- Benutzer 1 lädt Benutzer 2 in diesen Space ein
- Benutzer 2 kann nun über den Menüpunkt "Space"->"Server Einstellungen bearbeiten" die Logindaten von Benutzer 1 incl Klartextpasswort einsehen!

Meines Erachtens handelt es sich hierbei um eine schwerwiegende Sicherheitslücke.

Übrigens: Ändert nun Benutzer 2 in den Servereinstellungen die Logindaten auf seine eigenen, wird diese Änderung ebenfalls an alle Space-Mitglieder synchronisiert.
florian.koenig
 
Posts: 2
Joined: 03 Sep 2014, 17:26

Re: Persönliche Logindaten werden an Spacemitglieder übermit

Postby Detlef Schmuck » 14 Oct 2014, 10:24

Hallo Herr König, dieses Verhalten ist ein Fehler und wird umgehend behoben.
Nur Mitglieder mit Administrationsrechten sollen die Möglichkeit haben die Server Zugangsdaten zu ändern.
Detlef Schmuck
TeamDrive Team Member
 
Posts: 611
Joined: 07 Jul 2008, 19:20

Re: Persönliche Logindaten werden an Spacemitglieder übermit

Postby ronfein » 05 Nov 2014, 16:52

In welcher Version ist dieser Bug gefixt?
Danke.
ronfein
 
Posts: 138
Joined: 14 Jul 2010, 10:11

Re: Persönliche Logindaten werden an Spacemitglieder übermit

Postby ronfein » 05 Dec 2014, 08:45

Dafür, dass es sich um eine schwerwiegende Sicherheitslücke handelt, wird das ziemlich stiefmütterlich behandelt - positiv formuliert.
ronfein
 
Posts: 138
Joined: 14 Jul 2010, 10:11

Re: Persönliche Logindaten werden an Spacemitglieder übermit

Postby florian.koenig » 09 Dec 2014, 17:05

In Version 3.2.1 (Build: 809) (Linux) existiert das Problem weiterhin.
florian.koenig
 
Posts: 2
Joined: 03 Sep 2014, 17:26

Re: Persönliche Logindaten werden an Spacemitglieder übermit

Postby ronfein » 15 Dec 2014, 19:24

Auch in der aktuellen Version (Windows 3.3.1 - 1047) ist das fremde Passwort einsehbar.
ronfein
 
Posts: 138
Joined: 14 Jul 2010, 10:11


Return to Bug Reports

Who is online

Users browsing this forum: No registered users and 1 guest

cron