![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR12-038 IBM - Tivoli Provisioning Manager Express
Flera allvarliga säkerhetsbrister som kan utnyttjas för att utföra SQL-injection-attacker har rättats av IBM.
Problembeskrivning
CVE-referens: CVE-2012-0198 CVE-2012-0199
Flera funktioner i produkten Tivoli Provisioning Manager Express har bristfällig indata-kontroll vilket kan utnyttjas för att injicera godtyckliga SQL-kommandon som sedan exekveras på systemet. En av bristerna kan utnyttjas för att exekvera godtycklig programkod, resten kan ge en angripare läs och skrivmöjligheter i den underliggande databasen.. IBM har släppt en uppdatering som åtgärdar bristerna.
Påverkade versioner
- IBM Tivoli Provisioning Manager Express for Software Distribution 4.1.1
Mer information och programrättningar
http://www.zerodayinitiative.com/advisories/ZDI-12-04