Python es un lenguaje de programación ampliamente utilizado debido a su simplicidad y versatilidad, lo que lo convierte en una herramienta esencial para desarrolladores y administradores de sistemas. Dentro de su ecosistema, el paquete «zhmcclient» destaca como una biblioteca cliente diseñada para interactuar con el IBM Z HMC Web Services API. Se ha identificado una vulnerabilidad alta en «zhmcclient» que expone información sensible, como contraseñas, en texto claro en los registros API y HMC, comprometiendo potencialmente la seguridad de los sistemas afectados.
- CVE-2024-53865 (CVSS 8.3): Esta vulnerabilidad ocurre debido al almacenamiento en texto claro de propiedades de tipo contraseña en los registros HMC y API del paquete «zhmcclient». Afecta a funciones específicas del paquete, donde propiedades como boot-ftp-password, ssc-master-pw, zaware-master-pw, password y bind-password se registran en texto claro al crear o actualizar particiones en modo DPM, perfiles de activación de imagen en modo clásico, usuarios HMC o definiciones de servidores LDAP. Solo afecta a usuarios que habilitan los registros «zhmcclient.api» o «zhmcclient.hmc» y ejecutan las funciones mencionadas, lo que podría permitir a un atacante con acceso al sistema obtener credenciales sensibles.
Productos y versiones afectadas:
- Paquete Python «zhmcclient» en todas las versiones anteriores a la 1.18.1.
Solución:
- Actualizar a la versión 1.18.1 del paquete «zhmcclient».
Recomendaciones:
- Revisar los entornos afectados y deshabilitar temporalmente los registros sensibles si es posible.
- Implementar controles de acceso estrictos a los registros del sistema.
- Mantener actualizado el paquete «zhmcclient» para evitar futuras vulnerabilidades.
Referencias: