Errors contain credentials in plaintext

Beschreibung

{"level":50,"time":1674832773627,"pid":1,"hostname":"service-79d5f6fb77-gf4ks","type":"ReplyError","message":"WRONGPASS invalid username-password pair or user is disabled.","stack":"ReplyError: WRONGPASS invalid username-password pair or user is disabled.\n    at parseError (/app/node_modules/redis-parser/lib/parser.js:179:12)\n    at parseType (/app/node_modules/redis-parser/lib/parser.js:302:14)","command":{"name":"auth","args":["APPLICATION_USERNAME","APPLICATION_PASSWORD"]}}

Contributor Guide

Tech Stack

typescriptnodejs

Domain

backendsecurity

Issue Type

bug

SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.

3

Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.

1-3 hours

AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.

fresh

KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.

clear

Voraussetzungen

Node.js basicsRedis authenticationUnderstanding of logging

EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.

60

Research-Richtung

The issue is that the Redis error message includes the credentials in plaintext when authentication fails. The fix involves modifying the error handling in the ioredis library to redact or omit the username and password from the logged command arguments. Look at the 'auth' command implementation in the source code (likely in the 'command' or 'redis' modules). Ensure that any logging of command arguments masks sensitive fields. Consider adding a redaction mechanism similar to what other libraries use. The maintainers may provide guidance in the issue comments.