forum.opsi.org

opsi support forum
https://forum.opsi.org/

Passwort wird im Klartext angezeigt!

https://forum.opsi.org/viewtopic.php?t=8505

Seite 1 von 1

Passwort wird im Klartext angezeigt!

Verfasst: 04 Jul 2016, 13:56
von Irsigler
Hallo zusammen,

hier ein etwas ernstes Problem. :!:
Wir führen den deploy-agent mit den $Accounts (Domänen-Admins) aus. Dabei führen wir das Skript so aus, dass nachträglich das Passwort eingetragen werden muss (= Sicherheitsgründe). Sobald man das Skript nun mit -v ( oder mehr v) ausführt, wird das Passwort im Klartext in den verbose Infos angezeigt.
Dies passiert aber nur, wenn das Passwort mit einem "F" beginnt.
Wir konnten das mit 2 verschiedenen Accounts testen:
Beim ersten wird nur ***confidential*** angezeigt (Soll-Zustand)
Beim zweiten wird das Passwort angezeigt. Das Passwort wurde dort geändert. Danach wird es nicht mehr angezeigt.
Sobald man nun das Passwort wieder umändert auf "Irgendetwas mit F beginnend" wird das Passwort wieder angezeigt.

Re: Passwort wird im Klartext angezeigt!

Verfasst: 04 Jul 2016, 17:41
von n.wenselowski
Hi,

ich meine das auch schon mal gesehen zu haben :?

Das Problem kommt durch dadurch zustande, dass bei der Übergabe an die winexe die Credemtials in der Art username%password verknüpft werden. Der Logger hat Formatierungsfeatures, eines davon ist, dass er %F durch den Namen der Datei aus welcher die Meldung stammt ersetzt - %F wie Filename.
Dadurch, dass der Logger erste den die Nachricht mit der gewählten Formatierung darstellt entsteht sowas wie usernamedateiassword - das %F wird dabei zur Datei, vom Passwort sieht man die Zeichen bis auf das erste.

Ich denke mal, dass ich einen Fix dafür habe. Wenn der QA überlebt, dann kommt er mit nach 4.0.7!


Viele Grüße

Niko

Re: Passwort wird im Klartext angezeigt!

Verfasst: 04 Jul 2016, 19:51
von n.wenselowski
Huhu,
n.wenselowski hat geschrieben:Ich denke mal, dass ich einen Fix dafür habe. Wenn der QA überlebt, dann kommt er mit nach 4.0.7!
python-opsi 4.0.7.6, baut aktuell in experimental, behebt das Problem hoffentlich zuverlässig :)
Ich würde mich über Feedback dazu freuen, muss an der Stelle aber auch warnen, dass ich dieses Version - da sie aus experimental stammt - nicht auf einem Produktivsystem einspielen würde.


Viele Grüße

Niko

Re: Passwort wird im Klartext angezeigt!

Verfasst: 05 Jul 2016, 08:06
von Irsigler
Danke für die Information!
Nun wissen wir endlich was da abläuft :)

Das experimental kann ich leider nicht testen, da unser OPSI ein livesystem ist. Vielleicht wird es jemand aus der Community testen?

Re: Passwort wird im Klartext angezeigt!

Verfasst: 07 Jul 2016, 14:42
von ueluekmen
Durch unsere VM kann man sich auch ganz schnell ohne großen Aufwand eine Testumgebung schaffen ;)

http://uib.de/de/opsi/opsi-testen-download/
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de