zope の中でアカウントの管理を LDAP で行うためのプロダクト LDAPUserFolder の 2.6beta3 が 9/22 リリースされていました。

もしもご自身の環境で LDAPUserFolder 2.6beta1 や 2.6beta2 を使っている方は、2.6beta3 に即刻アップグレードしてください。

LDAPUserFolder 2.6beta3 での変更部分が記述してある CHANGES.txt に以下の記述があります。:

  * Fixed a serious bug that crept into version 2.6beta1 and which
    led to users being able to log in with a wrong password or no
    password.

つまり、アカウントの ID が合っていれば、 正しくないパスワード や パスワードを入力しなくても ログインできてしまうという、超危険なバグがあったからです。

私もこのバグに全然気付いてず、会社のサイトで 2.6beta2 を使っていました。

すると昨日ユーザの方からメールがあって、初めてこの問題に気が付きました。

# 最初は「うそだろー」と思いましたが、実際の動作と最新版の CHANGES.txt を見て青ざめました。

というわけで、使っている方はアップグレードしましょう。2.6beta5 では問題ないようです。

ついでに、plone で Group User Folder を使っている人は 3.4 にアップグレードすることをおすすめします。

Group User Folder 3.4 は LDAPUserFolder と組み合わせて使っているときに、ユーザを検索するときにちゃんと LDAP 側のユーザを検索できるようになっていて便利になってます。

はー、あせった。

しかも絶妙のタイミングで最新版が出ててよかったー。