Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

Tivoli Provisioning Manager for OS Deployment version 5.1.0.1 et antérieures.

Résumé

Plusieures vulnérabilités dans Tivoli Provisioning Manager for OS Deployment permettent à un utilisateur distant d'exécuter du code arbitraire.

Description

Il existe des erreurs dans la gestion de certaines requêtes HTTP de type POST dans Tivoli Provisioning Manager for OS Deployment. Celles-ci permettent à un utilisateur distant, mais sur le même réseau local, d'exécuter du code arbitraire par le biais d'une requête HTTP construite de façon particulière sur les ports d'écoute du service vulnérable : 8080/TCP et 443/TCP.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation