آسیب‌پذیری کتابخانه پایتون و تأثیر آن بر امنیت داده‌ها

کمیته رکن چهارم – یک آسیب‌پذیری با شناسه CVE-2024-53865 در کتابخانه zhmcclient پایتون کشف شده که اطلاعات حساس را به صورت متن ساده ذخیره می‌کند.

به گزارش کمیته رکن چهارم، این نقص امنیتی در IBM Z HMC Web Services API رخ داده و شدت آن برابر با ۸٫۲ (بالا) است. علت اصلی این آسیب‌پذیری، مدیریت نادرست رمزهای عبور و ذخیره آن‌ها در فایل‌های لاگ به صورت متن ساده (Clear Text) است. این آسیب‌پذیری زمانی فعال می‌شود که توابع امنیتی در ماژول‌های zhmcclient.api یا zhmcclient.hmc به‌روزرسانی شوند.

براساس بردار حمله (CVSS:3.1)، این نقص به دسترسی محلی (AV:L) و سطح دسترسی بالا (PR:H) نیاز دارد و بدون تعامل کاربر (UI:N) قابل بهره‌برداری است. تأثیر این حمله شامل مواردی مانند افشای اطلاعات حساس و آسیب به محرمانگی، یکپارچگی، و دسترس‌پذیری منابع (C:H/I:H/A:H) است.

رمزهای عبور تحت تأثیر شامل موارد زیر است:

• (boot-ftp-password(FTP
• (ssc-master-pw(SSC
• (zaware-master-pw(ZAWARE
• (HMC(password
• (bind-password(LDAP

تمام نسخه‌های کتابخانه zhmcclient از جمله نسخه ۱٫۱۸٫۱ آسیب‌پذیر هستند. کاربران توصیه می‌شوند هرچه سریع‌تر به نسخه بالاتر از ۱٫۱۸٫۱ ارتقا دهند تا از خطرات ناشی از این نقص امنیتی در امان بمانند.