Blog pour août, 2018

Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Apache Struts2 (versions « 2.3 » à « 2.3.34 » et versions « 2.5 » à « 2.5.16 ») qu’un avis de sécurité a été publié.

Cette faille majeure permet à des systèmes malveillants d’exploiter du code à distance. De plus, l’exploitation de cette faille ne nécessite aucune authentification sur un système vulnérable.

Veuillez noter que les versions « 2.3.35 » et « 2.5.17 » d’Apache Struts2 corrigent la vulnérabilité.  Pour les versions « 2.3 » à « 2.3.34 » et les versions « 2.5 » à « 2.5.16 », un correctif peut être téléchargé à partir du site de Struts.

Les détails concernant cette faille sont disponibles aux liens suivants :

• https://struts.apache.org/announce.html
• https://cwiki.apache.org/confluence/display/WW/S2-057
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776

Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie Apache Struts2, veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions 3.2.0 à 4.8.3).  La faille la plus critique permet à un utilisateur malveillant de contourner les politiques de sécurité du serveur SAMBA.

Veuillez noter que les versions « 4.8.4 », « 4.7.9 » et « 4.6.16 » de SAMBA corrigent ces vulnérabilités (http://samba.org/samba/).  Pour les autres versions, des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/ . 

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :

• CVE-2018-10858 : https://www.samba.org/samba/security/CVE-2018-10858.html
• CVE-2018-10918 : https://www.samba.org/samba/security/CVE-2018-10918.html
• CVE-2018-10919 : https://www.samba.org/samba/security/CVE-2018-10919.html
• CVE-2018-1139 : https://www.samba.org/samba/security/CVE-2018-1139.html
• CVE-2018-1140 : https://www.samba.org/samba/security/CVE-2018-1140.html

À noter que les équipements de type « NAS » utilisent souvent des implémentations SAMBA pour le service de partage de fichiers. Il est important de valider l'existence des mises à jour des micrologiciels (« firmware ») offertes par les fabricants.

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Pour rester informé des actualités concernant la sécurité informatique (alertes, vulnérabilités, failles, recommandations), veuillez vous abonner au blog de la Sécurité des Technologies de l’information.

Advenant le cas où vous avez reçu ce courriel et que vous n’êtes pas l’administrateur de systèmes ou le responsable informatique de votre unité, veuillez svp le transmettre à votre responsable d’unité.

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’une vulnérabilité critique affectant « Java VM » d’Oracle Database Server a été publiée.  L’exploitation de la faille de sécurité permet à un système malveillant de prendre le contrôle à distance d’une base de données Oracle. 

Les produits concernés par cette faille sont les versions « 11.2.0.4 », « 12.1.0.2 », « 12.2.0.1 » et « 18 » d’Oracle Database Server.

Veuillez noter que cette vulnérabilité est corrigée par une mise à jour (« hors cycle ») d’Oracle Database Server.

Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

• Oracle : http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
• CVE:  CVE-2018-3110

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que des avis de vulnérabilités affectant les processeurs d’ordinateurs Intel « L1TF » ont été publiés.

Ces vulnérabilités d’exécutions spéculatives exploitent les fonctionnalités de performance des processeurs et peuvent ainsi permettre à des systèmes malveillants de dérober des données stockées sur les ordinateurs. Les informations confidentielles sont donc potentiellement à risque.

Pour remédier à ces failles, il existe trois vecteurs d’exploitation pour lesquels un correctif existe :

• CVE-2018-3615 - L1 Terminal Fault: SGX :
  • Peu d’impact sur la performance : Mise à jour du microcode CPU de Intel.

• CVE-2018-3620 - L1 Terminal Fault: OS/SMM :
  • Peu d’impact sur la performance : Mise à jour du noyau (« Kernel ») du système d’exploitation (Windows, Linux, BSD).

• CVE-2018-3646 - L1 Terminal Fault: VMM :
  • Peu d’impact sur la performance : Mise à jour de l’hyperviseur (partiel).
  • Impact sur la performance : Désactivation de l’ « HyperThreading » et mise à jour de l’hyperviseur (complet).

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens ci-dessous :

• Vidéo de vulgarisation du vecteur de la faille :
  • https://www.youtube.com/watch?v=kBOsVt0iXE4

• Intel :
  • https://www.intel.com/content/www/us/en/architecture-and-technology/l1tf.html
  • https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

• Faille Foreshadow :
  • https://foreshadowattack.eu/

• Oracle :
  • https://blogs.oracle.com/oraclesecurity/intel-l1tf

• Microsoft :
  • https://blogs.technet.microsoft.com/srd/2018/08/10/analysis-and-mitigation-of-l1-terminal-fault-l1tf/

• Cisco :
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180814-cpusidechannel?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=CPU%20Side-Channel%20Information%20Disclosure%20Vulnerabilities:%20August%202018&vs_k=1

• VmWare :
  • https://www.vmware.com/ca/security/advisories/VMSA-2018-0020.html

• Linux (« Kernel ») :
  • https://www.kernel.org/doc/html/latest/admin-guide/l1tf.html

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’un avis de sécurité affectant les imprimantes du fabricant HP a été publié (référence : PSR-2018-007).

La faille de sécurité permet à un système malveillant de prendre le contrôle et d’exécuter du code malicieux à distance sur plusieurs imprimantes de marque HP.

Une liste des produits touchés par cette faille est disponible sur le site du fabricant HP.

Veuillez noter que la mise à jour du micro logiciel (« firmware ») de l’imprimante corrige la vulnérabilité.

Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

• PSR-2018-0072 (HP) : https://support.hp.com/ee-en/document/c06097712
• CVE-2018-5924 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5924
• CVE-2018-5925 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5925

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.