CVE-2024-53865丨Python 包“zhmcclient”在其 HMC 和 API 日志中包含明文密码

zhmcclient是IBM Z HMC Web Services API的纯Python客户端库。在某些受影响版本中，zhmcclient软件包会在以下情况下将其HMC和API日志中明文写入密码类似的属性： 1. 在DPM模式下创建或更新分区时，在zhmcclient API和HMC日志中写入'boot-ftp-password'和'ssc-master-pw'属性。 2. 在经典模式下更新LPAR时，在zhmcclient API和HMC日志中写入'ssc-master-pw'和'zaware-master-pw'属性。 3. 在经典模式下创建或更新图像激活配置文件时，在zhmcclient API和HMC日志中写入'ssc-master-pw'和'zaware-master-pw'属性。 4. 创建或更新HMC用户时，在zhmcclient API日志中写入'password'属性。 5. 创建或更新LDAP服务器定义时，在zhmcclient API和HMC日志中写入'bind-password'属性。 这个问题仅影响已启用名为"zhmcclient.api"（用于API日志）或"zhmcclient.hmc"（用于HMC日志）的Python日志记录器并使用上述功能的zhmcclient软件包的用户。这个问题已在zhmcclient版本1.18.1中得到修复。建议用户进行升级。目前没有已知的此漏洞的解决方法。