Passwort wird im Klartext angezeigt!

Antworten
Irsigler
Beiträge: 28
Registriert: 29 Apr 2016, 12:39

Passwort wird im Klartext angezeigt!

Beitrag von Irsigler »

Hallo zusammen,

hier ein etwas ernstes Problem. :!:
Wir führen den deploy-agent mit den $Accounts (Domänen-Admins) aus. Dabei führen wir das Skript so aus, dass nachträglich das Passwort eingetragen werden muss (= Sicherheitsgründe). Sobald man das Skript nun mit -v ( oder mehr v) ausführt, wird das Passwort im Klartext in den verbose Infos angezeigt.
Dies passiert aber nur, wenn das Passwort mit einem "F" beginnt.
Wir konnten das mit 2 verschiedenen Accounts testen:
Beim ersten wird nur ***confidential*** angezeigt (Soll-Zustand)
Beim zweiten wird das Passwort angezeigt. Das Passwort wurde dort geändert. Danach wird es nicht mehr angezeigt.
Sobald man nun das Passwort wieder umändert auf "Irgendetwas mit F beginnend" wird das Passwort wieder angezeigt.
Nach oben
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Passwort wird im Klartext angezeigt!

Beitrag von n.wenselowski »

Hi,

ich meine das auch schon mal gesehen zu haben :?

Das Problem kommt durch dadurch zustande, dass bei der Übergabe an die winexe die Credemtials in der Art username%password verknüpft werden. Der Logger hat Formatierungsfeatures, eines davon ist, dass er %F durch den Namen der Datei aus welcher die Meldung stammt ersetzt - %F wie Filename.
Dadurch, dass der Logger erste den die Nachricht mit der gewählten Formatierung darstellt entsteht sowas wie usernamedateiassword - das %F wird dabei zur Datei, vom Passwort sieht man die Zeichen bis auf das erste.

Ich denke mal, dass ich einen Fix dafür habe. Wenn der QA überlebt, dann kommt er mit nach 4.0.7!


Viele Grüße

Niko

Code: Alles auswählen

import OPSI
Nach oben
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Passwort wird im Klartext angezeigt!

Beitrag von n.wenselowski »

Huhu,
n.wenselowski hat geschrieben:Ich denke mal, dass ich einen Fix dafür habe. Wenn der QA überlebt, dann kommt er mit nach 4.0.7!
python-opsi 4.0.7.6, baut aktuell in experimental, behebt das Problem hoffentlich zuverlässig :)
Ich würde mich über Feedback dazu freuen, muss an der Stelle aber auch warnen, dass ich dieses Version - da sie aus experimental stammt - nicht auf einem Produktivsystem einspielen würde.


Viele Grüße

Niko

Code: Alles auswählen

import OPSI
Nach oben
Irsigler
Beiträge: 28
Registriert: 29 Apr 2016, 12:39

Re: Passwort wird im Klartext angezeigt!

Beitrag von Irsigler »

Danke für die Information!
Nun wissen wir endlich was da abläuft :)

Das experimental kann ich leider nicht testen, da unser OPSI ein livesystem ist. Vielleicht wird es jemand aus der Community testen?
Nach oben
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1940
Registriert: 28 Mai 2008, 10:53

Re: Passwort wird im Klartext angezeigt!

Beitrag von ueluekmen »

Durch unsere VM kann man sich auch ganz schnell ohne großen Aufwand eine Testumgebung schaffen ;)

http://uib.de/de/opsi/opsi-testen-download/


Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.

Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.

uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de


Nach oben
Antworten

Zurück zu „Freier Support“