Vulnerabilidad en zhmcclient (CVE-2024-53865)

zhmcclient es una librería de cliente Python pura para la API de servicios web IBM Z HMC. En las versiones afectadas, el paquete Python "zhmcclient" escribe propiedades similares a contraseñas en texto plano en sus registros de HMC y API en los siguientes casos: 1. Las propiedades 'boot-ftp-password' y 'ssc-master-pw' al crear o actualizar una partición en modo DPM, en la API de zhmcclient y los registros de HMC. 2. Las propiedades 'ssc-master-pw' y 'zaware-master-pw' al actualizar una LPAR en modo clásico, en la API de zhmcclient y los registros de HMC. 3. Las propiedades 'ssc-master-pw' y 'zaware-master-pw' al crear o actualizar un perfil de activación de imagen en modo clásico, en la API de zhmcclient y los registros de HMC. 4. La propiedad 'password' al crear o actualizar un usuario de HMC, en el registro de la API de zhmcclient. 5. La propiedad 'bind-password' al crear o actualizar una definición de servidor LDAP, en los registros de la API y de la HMC de zhmcclient. Este problema afecta únicamente a los usuarios del paquete zhmcclient que han habilitado los registradores de Python denominados "zhmcclient.api" (para el registro de la API) o "zhmcclient.hmc" (para el registro de la HMC) y que utilizan las funciones enumeradas anteriormente. Este problema se ha solucionado en la versión 1.18.1 de zhmcclient. Se recomienda a los usuarios que actualicen la versión. No existen workarounds conocidos para esta vulnerabilidad.