]> git.koha-community.org Git - koha.git/commit
Bug 21997: SIP patron information requests can lock patron out of account
authorKyle M Hall <kyle@bywatersolutions.com>
Thu, 13 Dec 2018 19:56:22 +0000 (14:56 -0500)
committerMartin Renvoize <martin.renvoize@ptfs-europe.com>
Tue, 26 Feb 2019 09:23:26 +0000 (09:23 +0000)
commit9d811184fef4c7db64f616bd631991aef503a8a9
treea823408a705f17713db1ba41f19a9793c7c83d83
parenta72d11e55dc24764faa6717d3d130ca92777afd0
Bug 21997: SIP patron information requests can lock patron out of account

Many SIP services send an empty password field (AD). Even if allow_empty_passwords is enabled for the given SIP account, this empty password is run though Koha's password checker which increments the number of login attempts for a patron. Thus repeated patron information requests can lock a patron out! Empty password fields in SIP should not call for a password check if allow_empty_passwords is enabled.

Test Plan:
1) Enable a patron password attempt with a limit of 3
2) Send 4 patron information requests with an empty AD field
3) Note the patron's account is now locked
4) Apply this patch
5) Repeat step 2 with a different patron
6) Note the patron's account does not get locked!

Signed-off-by: Charles Farmer <charles.farmer@inLibro.com>
Signed-off-by: Martin Renvoize <martin.renvoize@ptfs-europe.com>
Signed-off-by: Nick Clemens <nick@bywatersolutions.com>
(cherry picked from commit fac2c172143b31255767684e4b22c0ba1ae0aaaf)
Signed-off-by: Martin Renvoize <martin.renvoize@ptfs-europe.com>
C4/SIP/Sip/MsgType.pm