Bug 28384 - UDM Suchfilter werden nicht escaped
UDM Suchfilter werden nicht escaped
Status: CLOSED DUPLICATE of bug 16387
Product: UCS
Classification: Unclassified
Component: UDM (Generic)
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.1
Assigned To: Dirk Wiesenthal
Florian Best
: interim-2
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2012-08-31 14:05 CEST by Florian Best
Modified: 2012-12-12 21:10 CET (History)
3 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Florian Best univentionstaff 2012-08-31 14:05:20 CEST
Momentan wird der objectPropertyValue wert nicht escaped, sodass eine Anfrage, die reservierte ldap suchfilter Zeichen (z.b: klammern () ) enthält schiefgeht.

{"container":"all","objectType":"users/user","objectProperty":"username","objectPropertyValue":"()"}
Comment 1 Florian Best univentionstaff 2012-08-31 14:26:49 CEST
Dadurch ist dann auch sowas wie 'Administrator)(sambaLMPassword=3*' möglich bzw. andere Verkettungen von Suchoperationen.
Comment 2 Florian Best univentionstaff 2012-09-03 09:59:04 CEST

*** This bug has been marked as a duplicate of bug 28383 ***
Comment 3 Dirk Wiesenthal univentionstaff 2012-09-25 19:26:48 CEST
Das ist kein Duplikat von bug 28383. Der andere Bug bezog sich auf andere Felder (objectProperty z.B.), dieser hier auf objectPropertyValue. Ist aber trotzdem schon früher aufgefallen (sehr viel früher).

*** This bug has been marked as a duplicate of bug 16387 ***
Comment 4 Florian Best univentionstaff 2012-09-26 08:02:53 CEST
(In reply to comment #3)
> *** This bug has been marked as a duplicate of bug 16387 ***
Ja stimmt.
Comment 5 Stefan Gohmann univentionstaff 2012-12-12 21:10:49 CET
UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".