FreeIPA ist ein von RedHat unterstütztes Open-Source Softwareprojekt, dass als Ziel hat ein Identität-, Policy- und Auditsystem zur Verfügung zu stellen. Dabei geht FreeIPA weiter als vergleichsweise das Active Directory von Microsoft oder eDirectory von Novell und vereint viele Open-Source Technologien zu einem System. Die Entwickler haben das Update 4.12.3 veröffentlicht, was ein Security Release ist.
FreeIPA 4.12.3 Release Notes
- CVE-2024-11029
When FreeIPA command line tools that run on IPA servers accept passwords on the command line, their details could be logged into systemd journal if the tools are using IPA API via ‘/proc/pid/commandline’ content.
systemd journald daemon collects these details along with any call that writes data to the systemd journal. The journal content is not accessible outside of administrators by default but could be exposed by forwarding the journal to external centralized log collectors.
In most cases the centralized logging protocols like rsyslog do not forward _CMDLINE property and thus do not see the command line directly. However, if administrators create backup copies of the systemd journal files, the binary data will contain all journal properties.
In order to prevent unwanted exposure of passwords in command lines, FreeIPA tools now replace the passwords specified on the command line with a marker ‘XXXXXX’.
- ipa tools: remove sensitive material from the commandline commit
- Unify use of option parsers commit
- ipa-otpd: use oidc_child’s –client-secret-stdin option commit
Quelle: FreeIPA 4.12.3 — FreeIPA documentation
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.