]> git.koha-community.org Git - koha.git/commit
Bug 21997: SIP patron information requests can lock patron out of account
authorKyle M Hall <kyle@bywatersolutions.com>
Thu, 13 Dec 2018 19:56:22 +0000 (14:56 -0500)
committerLucas Gass <lucas@bywatersolutions.com>
Wed, 6 Mar 2019 16:14:06 +0000 (16:14 +0000)
commitc6f8b29803a1bb001e0f2caae85506075d4873a7
tree47cd805c49f11f08afbff890a637daeb467f970b
parentca706e6310b30d3e110351409dcdbb19c0da7934
Bug 21997: SIP patron information requests can lock patron out of account

Many SIP services send an empty password field (AD). Even if allow_empty_passwords is enabled for the given SIP account, this empty password is run though Koha's password checker which increments the number of login attempts for a patron. Thus repeated patron information requests can lock a patron out! Empty password fields in SIP should not call for a password check if allow_empty_passwords is enabled.

Test Plan:
1) Enable a patron password attempt with a limit of 3
2) Send 4 patron information requests with an empty AD field
3) Note the patron's account is now locked
4) Apply this patch
5) Repeat step 2 with a different patron
6) Note the patron's account does not get locked!

Signed-off-by: Charles Farmer <charles.farmer@inLibro.com>
Signed-off-by: Martin Renvoize <martin.renvoize@ptfs-europe.com>
Signed-off-by: Nick Clemens <nick@bywatersolutions.com>
(cherry picked from commit fac2c172143b31255767684e4b22c0ba1ae0aaaf)
Signed-off-by: Martin Renvoize <martin.renvoize@ptfs-europe.com>
(cherry picked from commit 9d811184fef4c7db64f616bd631991aef503a8a9)

Signed-off-by: Lucas Gass <lucas@bywatersolutions.com>
C4/SIP/Sip/MsgType.pm