source: trunk/package/busybox/patches/310-passwd_access.patch @ 29299

Last change on this file since 29299 was 29299, checked in by nico, 5 years ago

package/busybox: wget: URL-decode user:password before base64-encoding it into auth hdr (upstream fix)

File size: 1.2 KB
  • networking/httpd.c

    	Copyright (C) 2006 OpenWrt.org
    
    a b static int check_user_passwd(const char  
    17001700 
    17011701                if (ENABLE_FEATURE_HTTPD_AUTH_MD5) { 
    17021702                        char *md5_passwd; 
     1703                        int user_len_p1; 
    17031704 
    17041705                        md5_passwd = strchr(cur->after_colon, ':'); 
    1705                         if (md5_passwd && md5_passwd[1] == '$' && md5_passwd[2] == '1' 
     1706                        user_len_p1 = md5_passwd + 1 - cur->after_colon; 
     1707                        if (md5_passwd && !strncmp(md5_passwd + 1, "$p$", 3)) { 
     1708                                struct passwd *pwd = NULL; 
     1709 
     1710                                pwd = getpwnam(&md5_passwd[4]); 
     1711                                if(!pwd->pw_passwd || !pwd->pw_passwd[0] || pwd->pw_passwd[0] == '!') 
     1712                                        return 1; 
     1713 
     1714                                md5_passwd = pwd->pw_passwd; 
     1715                                goto check_md5_pw; 
     1716                        } else if (md5_passwd && md5_passwd[1] == '$' && md5_passwd[2] == '1' 
    17061717                         && md5_passwd[3] == '$' && md5_passwd[4] 
    17071718                        ) { 
    17081719                                char *encrypted; 
    1709                                 int r, user_len_p1; 
     1720                                int r; 
    17101721 
    17111722                                md5_passwd++; 
    1712                                 user_len_p1 = md5_passwd - cur->after_colon; 
    17131723                                /* comparing "user:" */ 
    17141724                                if (strncmp(cur->after_colon, user_and_passwd, user_len_p1) != 0) { 
    17151725                                        continue; 
    17161726                                } 
    17171727 
     1728check_md5_pw: 
    17181729                                encrypted = pw_encrypt( 
    17191730                                        user_and_passwd + user_len_p1 /* cleartext pwd from user */, 
    17201731                                        md5_passwd /*salt */, 1 /* cleanup */); 
Note: See TracBrowser for help on using the repository browser.