New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

"Whitelist keys" не ограничивает достп к записям #22

Closed
Romich777 opened this Issue Feb 1, 2018 · 6 comments

Comments

Projects
None yet
2 participants
@Romich777

Romich777 commented Feb 1, 2018

Пользователь с правами "Whitelist keys" может просматривать все ключи!
Пользователь видит общее количество ключей
selection_001

И может их просмотреть по линках
http://redmine/project/keys/1/edit
http://redmine/project/keys/2/edit

@noshutdown-ru-user noshutdown-ru-user self-assigned this Feb 1, 2018

@noshutdown-ru-user

This comment has been minimized.

Member

noshutdown-ru-user commented Feb 1, 2018

Можно выслать скриншот настроек роли для данного пользователя ?

@Romich777

This comment has been minimized.

Romich777 commented Feb 1, 2018

Активна только "Whitelist keys".
Redmine 3.4.3

@noshutdown-ru-user

This comment has been minimized.

Member

noshutdown-ru-user commented Feb 1, 2018

Действительно, постараемся исправить как можно скорее, не используйте пока WhiteList

@Romich777

This comment has been minimized.

Romich777 commented Feb 1, 2018

Если не активиорвать права из группы "Keys" - пользователю не доступна вкладка "Keys".

"Whitelist keys" открывает доступ только к разрешенным пользователю ключам проэкта ?
"Viewe keys" открывает доступ ко всем ключам проэкта.

Я правильно понимаю эти права роли ?

@noshutdown-ru-user

This comment has been minimized.

Member

noshutdown-ru-user commented Feb 1, 2018

Да, Viewe keys разрешает просматривать все ключи в проекте

mr-exz pushed a commit that referenced this issue Feb 2, 2018

@noshutdown-ru-user

This comment has been minimized.

Member

noshutdown-ru-user commented Feb 2, 2018

Спасибо что сообщили о данной уязвимости, просим протестировать https://github.com/noshutdown-ru/vault/tree/development

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment