IBM Tivoli Provisioning Manager TCP到ODBC网关组件SQL注入漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
IBM Tivoli Provisioning Manager for OS Deployment 5.1 3 Intirim Fix 3
IBM Tivoli Provisioning Manager for OS Deployment 5.1 .3
IBM Tivoli Provisioning Manager for OS Deployment 5.1 .116
IBM Tivoli Provisioning Manager for OS Deployment 5.1.Fix Pack 3
IBM Tivoli Provisioning Manager for OS Deployment 5.1.0.2

不受影响系统

危害
远程攻击者可以利用漏洞操作数据库。

攻击所需条件
攻击者必须访问IBM Tivoli Provisioning Manager。

漏洞信息
IBM Tivoli Provisioning Manager允许通过服务器、存储器和网络自动化在整个数据中心实现随需应变的计算。
默认监听在TCP 2020端口的TCP到ODBC网关组件存在缺陷，无需验证即可向服务提交SQL查询，远程攻击者可以利用漏洞在数据库上进行读，修改或建立记录等操作。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://publib.boulder.ibm.com/infocenter/tivihelp/v3r1/index.jsp?topic=%2Fcom.ibm.tivoli.tpm.osd.doc%2Finstall%2Ftosd_setmsacessdbpwd.html

漏洞提供者
AbdulAziz Hariri

漏洞消息链接
http://www.zerodayinitiative.com/advisories/ZDI-10-194/

漏洞消息标题
IBM Tivoli Provisioning Manager for OS Deployment TCP to ODBC Remote Code Execution Vulnerability

← Mp3-Nator远程文件缓冲区溢出漏洞

IBM WebSphere Application Server for z/OS存在多个输入验证漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

IBM Tivoli Provisioning Manager TCP到ODBC网关组件SQL注入漏洞

0 条评论。

发表评论