Wir nutzen Cookies, um Ihnen eine optimale Nutzung dieser Webseite zu ermöglichen. Mehr Informationen finden Sie im Datenschutzhinweis. Wir nehmen an, dass Sie damit einverstanden sind, falls Sie diese Webseite weiter besuchen.

Ihre Cookie-Einstellungen
Ihre Einstellungen wurden aktualisiert.
Damit die Änderungen wirksam werden, löschen Sie bitte Ihre Browser-Cookies und den Cache und laden dann die Seite neu.

Werk #1587: Prevent logging of passwords during initial distributed site login

KomponenteWATO
TitelPrevent logging of passwords during initial distributed site login
Datum2014-12-03 09:08:16
Checkmk EditionCheckmk Raw Edition (CRE)
Checkmk Version1.2.6b1
LevelTrivial Change
KlasseSecurity Fix
KompatibilitätKompatibel - benötigt kein manuelles Eingreifen

When creating a distributed monitoring setup using WATO, after configuring a remote site in the central site, you need to login into the remote site as admin user once to establish a trust between both sites.

This login was made using a HTTP get request, which is logged in the access logs of the affected webservers (local system apache, local site apache, remote system apache, remote site apache). All these log entries contain the whole GET query string, which also includes the inserted username and password.

This has been fixed by replacing the GET request with a POST request where the request vars are not logged in the access log.