CVE-2024-53865

Nome do software vulnerável e versões afetadas:

Versões do zhmcclient anteriores à 1.18.1

Descrição:

O pacote Python “zhmcclient” grava propriedades semelhantes a senhas em texto simples nos seus logs do HMC e da API em vários casos, incluindo ao criar ou atualizar uma partição no modo DPM, atualizar um LPAR no modo clássico, criar ou atualizar um perfil de ativação de imagem no modo clássico, criar ou atualizar um usuário do HMC e criar ou atualizar uma definição de servidor LDAP. Este problema afeta usuários que ativaram os registradores Python chamados “zhmcclient.api” ou “zhmcclient.hmc” e utilizam as funções listadas acima.

Recomendações:

Para versões anteriores à 1.18.1, atualize para a versão 1.18.1 para corrigir o problema. Como solução alternativa temporária, considere desativar o registro de informações confidenciais desativando os registradores Python denominados “zhmcclient.api” e “zhmcclient.hmc” até que a atualização seja aplicada. Restrinja o acesso aos arquivos de log para minimizar o risco de exposição de dados confidenciais.