<div dir="ltr">Substantial help in finding this issue was provided by Arnošt Starosta. Thank you, Arnošt. M.<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px"><p><strong>Martin Lízner</strong><br><span style="font-size:11px;color:rgb(128,128,128)">chief solution architect</span></p></div><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">gsm: [+420] 737 745 571<br>e‑mail: <a href="mailto:martin.lizner@ami.cz" target="_blank">martin.lizner@ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px"><strong>AMI Praha a.s.</strong><br>Pláničkova 11, 162 00 Praha 6</p><p style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:11px">tel.: [+420] 274 783 239 | web: <a href="http://www.ami.cz" target="_blank">www.ami.cz</a></p><p style="color:rgb(0,0,0);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:10px;margin-top:20px"><img src="http://www.ami.cz/images/podpis/ami_logo.gif" alt="AMI Praha a.s." style="border:0px"></p><p style="font-family:Arial,sans-serif;font-size:11px;color:rgb(170,170,170)">Textem tohoto e‑mailu podepisující neslibuje uzavřít ani neuzavírá za společnost AMI Praha a.s.<br>jakoukoliv smlouvu. Každá smlouva, pokud bude uzavřena, musí mít výhradně písemnou formu.<br><span style="font-size:6px"> </span><br>Tento e‑mail je určen výhradně pro potřeby jeho adresáta/ů a může obsahovat důvěrné nebo osobní<br>informace. Nejste‑li zamýšleným příjemcem, je zakázáno jakékoliv zveřejňování, zprostředkování<br>nebo jiné použití těchto informací. Pokud jste obdrželi e‑mail neoprávněně, informujte o tom prosím<br>odesílatele a vymažte neprodleně všechny kopie tohoto e‑mailu včetně všech jeho příloh. Nakládáním<br>s neoprávněně získanými informacemi se vystavujete riziku právního postihu.</p></div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">čt 23. 5. 2019 v 9:51 odesílatel Radovan Semancik <<a href="mailto:radovan.semancik@evolveum.com">radovan.semancik@evolveum.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Date: 23 May 2019<br>
Severity: Low (CVSS 0.1-3.9)<br>
Affected versions: all released midPoint versions<br>
Fixed in versions: 4.0 (unreleased), 3.9.1 (unreleased), 3.8.1 <br>
(unreleased), 3.7.3 (unreleased), 3.6.2 (unreleased)<br>
<br>
Description<br>
<br>
Plaintext passwords are sometimes stored in task objects in the <br>
repository (database).<br>
<br>
Severity and Impact<br>
<br>
Tasks dealing with password manipulation (e.g. when doing bulk or <br>
asynchronous password reset) may contain plaintext password values. So a <br>
user that is able to retrieve these tasks from the repository can see them.<br>
<br>
Most midPoint deployment are not affected by this issue at all. By <br>
default, there are no tasks that manipulate passwords, unless created <br>
explicitly by the midPoint administrator. Also, default midPoint <br>
configuration does not allow access to arbitrary task objects by anyone <br>
else than system administrator.<br>
<br>
Mitigation<br>
<br>
MidPoint users are advised to upgrade their deployments to the latest <br>
builds from the support branches.<br>
As this is a low severity issue, it is not forcing official maintenance <br>
releases of midPoint. However, the fix is provided in all the support <br>
branches.<br>
<br>
Discussion and Explanation<br>
<br>
MidPoint can execute custom tasks on background. Typical ones are bulk <br>
actions (midPoint scripting) tasks and tasks that asynchronously execute <br>
specified object changes. Actions or changes to be executed are stored <br>
directly in these tasks. Although midPoint encrypts all the data that is <br>
to be stored into repository, it did not do that consistently and some <br>
data – namely, data related to object changes – passed through this <br>
encryption routine unnoticed.<br>
<br>
The midPoint code was fixed to be able to recognize password data in <br>
more depth than before. However, there are some conditions that must be <br>
fulfilled here: basically, values to be protected must be marked as <br>
such. Please see this wiki page for more information:<br>
<a href="https://wiki.evolveum.com/display/midPoint/How+to+provide+password+values+to+bulk+actions+(and+other+task+types)+securely" rel="noreferrer" target="_blank">https://wiki.evolveum.com/display/midPoint/How+to+provide+password+values+to+bulk+actions+(and+other+task+types)+securely</a><br>
<br>
Credit<br>
<br>
This issue was reported by Martin Lízner by the means of EU-Free and <br>
Open Source Software Auditing (EU-FOSSA2) project.<br>
<br>
See Also<br>
<br>
<a href="https://wiki.evolveum.com/display/midPoint/Security+Advisory%3A+Plain+text+password+in+task+objects+in+repository" rel="noreferrer" target="_blank">https://wiki.evolveum.com/display/midPoint/Security+Advisory%3A+Plain+text+password+in+task+objects+in+repository</a><br>
<br>
-- <br>
Radovan Semancik<br>
Software Architect<br>
<a href="http://evolveum.com" rel="noreferrer" target="_blank">evolveum.com</a><br>
<br>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</blockquote></div>