Errors contain credentials in plaintext

説明

{"level":50,"time":1674832773627,"pid":1,"hostname":"service-79d5f6fb77-gf4ks","type":"ReplyError","message":"WRONGPASS invalid username-password pair or user is disabled.","stack":"ReplyError: WRONGPASS invalid username-password pair or user is disabled.\n    at parseError (/app/node_modules/redis-parser/lib/parser.js:179:12)\n    at parseType (/app/node_modules/redis-parser/lib/parser.js:302:14)","command":{"name":"auth","args":["APPLICATION_USERNAME","APPLICATION_PASSWORD"]}}

コントリビューターガイド

技術スタック

typescriptnodejs

領域

backendsecurity

Issue 種別

bug

難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。

3

推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。

1-3 hours

活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。

fresh

明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。

clear

前提条件

Node.js basicsRedis authenticationUnderstanding of logging

初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。

60

調査方針

The issue is that the Redis error message includes the credentials in plaintext when authentication fails. The fix involves modifying the error handling in the ioredis library to redact or omit the username and password from the logged command arguments. Look at the 'auth' command implementation in the source code (likely in the 'command' or 'redis' modules). Ensure that any logging of command arguments masks sensitive fields. Consider adding a redaction mechanism similar to what other libraries use. The maintainers may provide guidance in the issue comments.