Authentification LDAP / SSO ig_ldap_sso_auth avec faille de sécurité
En raison d'une faille de sécurité dans l'extension TYPO3 ig_ldap_sso_auth, le premier bulletin de sécurité pour 2015 a été envoyé aujourd'hui. La version 2.0.0 est vulnérable à une authentification non autorisée.
Version concernée : 2.0.0
Risque pour la sécurité : Critique
Solution : Mise à jour vers la dernière version 2.0.1
La raison pour laquelle le bulletin de sécurité n'a été envoyé qu'aujourd'hui n'est pas claire à l'heure actuelle. La version 2.0.1 est déjà disponible dans le TER depuis le 19.12.2014.
TYPO3 et LDAP
La connexion à un service d'annuaire LDAP (Lightweight Directory Access Protocol) permet aux utilisateurs front-end (FE-Users) et back-end (BE-Users) d'utiliser le même mot de passe pour TYPO3 que pour les autres services ou sur le poste de travail. En cas de modification du mot de passe à un endroit central, tous les logins des différents systèmes sont ainsi actualisés en un tour de main. C'est pourquoi LDAP est principalement utilisé par les grandes entreprises disposant d'une infrastructure technique appropriée.
L'extension TYPO3 ig_ldap_sso_auth permet en outre une authentification unique (SSO). Cette fonctionnalité permet aux utilisateurs, après s'être connectés avec succès à un système, de passer à un autre système sans devoir s'authentifier à nouveau. Avec ig_ldap_sso_auth, un serveur MS Windows peut être interrogé en arrière-plan. Pour cela, l'authentification NTLM est nécessaire en tant que module Apache2 sur le serveur.
