发布日期：2010-10-08
更新日期：2010-10-09

受影响系统：

IBM Tivoli Provisioning Manager 5.1.x

描述：

---

BUGTRAQ  ID: 43896

IBM Tivoli Provisioning Manager允许通过服务器、存储器和网络自动化在整个数据中心实现随需应变的计算。

Tivoli Provisioning Manager中默认监听于TCP 2020端口上的TCP to ODBC网关组件没有正确地过滤用户所提交的查询请求参数，远程攻击者可以通过提交恶意请求执行SQL注入攻击，导致在数据库中读取、修改或创建记录。无需认证便可利用这个漏洞。

<*来源：AbdulAziz Hariri
  
  链接：http://marc.info/?l=full-disclosure&m=128657538503208&q=p3
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://publib.boulder.ibm.com/infocenter/tivihelp/v3r1/index.jsp?topic=%2Fcom.ibm.tivoli.tpm.osd.doc%2Finstall%2Ftosd_setmsacessdbpwd.html

浏览次数：2439
严重程度：0（网友投票）