Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Tivoli Provisioning Manager for OS Deployment version 5.1.0.1 et antérieures.
Résumé
Plusieures vulnérabilités dans Tivoli Provisioning Manager for OS Deployment permettent à un utilisateur distant d'exécuter du code arbitraire.
Description
Il existe des erreurs dans la gestion de certaines requêtes HTTP de type POST dans Tivoli Provisioning Manager for OS Deployment. Celles-ci permettent à un utilisateur distant, mais sur le même réseau local, d'exécuter du code arbitraire par le biais d'une requête HTTP construite de façon particulière sur les ports d'écoute du service vulnérable : 8080/TCP et 443/TCP.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg24015347 http://www-1.ibm.com/support/docview.wss?uid=swg24015347