Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

"Whitelist keys" не ограничивает достп к записям #22

Closed
Romich777 opened this issue Feb 1, 2018 · 6 comments
Assignees
Labels

Comments

@Romich777
Copy link

Пользователь с правами "Whitelist keys" может просматривать все ключи!
Пользователь видит общее количество ключей
selection_001

И может их просмотреть по линках
http://redmine/project/keys/1/edit
http://redmine/project/keys/2/edit

@noshutdown-ru-user
Copy link
Member

Можно выслать скриншот настроек роли для данного пользователя ?

@Romich777
Copy link
Author

Активна только "Whitelist keys".
Redmine 3.4.3

@noshutdown-ru-user
Copy link
Member

Действительно, постараемся исправить как можно скорее, не используйте пока WhiteList

@Romich777
Copy link
Author

Если не активиорвать права из группы "Keys" - пользователю не доступна вкладка "Keys".

"Whitelist keys" открывает доступ только к разрешенным пользователю ключам проэкта ?
"Viewe keys" открывает доступ ко всем ключам проэкта.

Я правильно понимаю эти права роли ?

@noshutdown-ru-user
Copy link
Member

noshutdown-ru-user commented Feb 1, 2018

Да, Viewe keys разрешает просматривать все ключи в проекте

mr-exz pushed a commit that referenced this issue Feb 2, 2018
@noshutdown-ru-user
Copy link
Member

Спасибо что сообщили о данной уязвимости, просим протестировать https://github.com/noshutdown-ru/vault/tree/development

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
Projects
None yet
Development

No branches or pull requests

2 participants