Libre-service TI

Raccourcis espace

Blog

Blog pour octobre, 2018

Vulnérabilités affectant les serveurs exploitant HPE Integrated Lights-Out (iLO) 3, 4 et 5
Centre de services TI posté le oct. 30, 2018

Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’un avis de sécurité affectant les serveurs HP qui exploitent HPE Integrated Lights-Out (iLO) 3, 4 et 5 a été publié.

Ces vulnérabilités permettent à des systèmes malveillants de provoquer une exécution de code arbitraire à distance.  Les informations confidentielles sont donc potentiellement à risque.

Le fabricant HP a publié des mises à jour de sécurité qui corrigent ces vulnérabilités :

  • iLO 5 v1.35
  • iLO 4 v2.61
  • iLO 3 v1.90

Pour accéder aux correctifs, se référer au bulletin de sécurité de l'éditeur :

Veuillez noter que s’il ne vous est pas possible d’installer les mises à jour, vous pouvez :

  • désactiver SSH ;
  • désactiver l’accès au port série ;
  • utiliser une authentification pour l’accès au port série.

Les détails concernant cette faille sont disponibles au lien suivant :

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Faille de sécurité affectant la bibliothèque « libssh » (versions 0.6 et plus) des serveurs
Centre de services TI posté le oct. 29, 2018

Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant la bibliothèque « libssh » (versions 0.6 et plus) des serveurs a été publié.

Cette faille majeure permet à des systèmes malveillants de contourner la politique de sécurité d’un serveur vulnérable, sans authentification, et d’y exploiter du code à distance.

L'éditeur a publié des mises à jour de sécurité qui corrigent ces vulnérabilités. Nous demandons à ceux qui utilisent ce logiciel d’installer les mises à jour publiées :

  • La révision 0.7.6 corrige la faille pour les versions de la famille/branche 0.7.6 et moins.
  • La révision 0.8.4 corrige la faille pour les versions de la famille/branche 0.8.4 et moins.
  • Les versions 0.6.x, 0.5.x, 0.4.x sont vulnérables et une mise à jour est nécessaire.

Les détails concernant cette vulnérabilité sont disponibles aux liens suivants :

Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie « libssh », veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

 

Vulnérabilité critique du module d’extension PHP jQuery (jQuery File Upload), versions 9.22.1 et antérieures)
Centre de services TI posté le oct. 29, 2018

Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant le module d'extension PHP jQuery (jQuery File Upload) versions 9.22.1 et antérieures a été publié.

Cette faille permet à des systèmes malveillants de téléverser, sans authentification, un fichier vers un serveur vulnérable et d’y exploiter du code à distance.

Cette vulnérabilité de sécurité peut être exploitée sur : 

  1. un serveur web où est installée l’extension pour exécuter des scripts PHP dans le répertoire local du projet.
  2. un serveur qui n’est pas paramétré pour empêcher l’exécution des fichiers du répertoire de téléversement configuré par le module d’extension PHP jQuery (jQuery-File-Upload).
  3. un serveur web de type Apache (versions 2.3.9 et plus) pour utiliser l’option AllowOverride et la valeur de configuration « none ».
  4. un serveur qui ne supporte pas le contrôle d’accès à l’aide d’un fichier « .htaccess ».

Veuillez noter que cette vulnérabilité peut être corrigée avec la version 9.22.1 du module d’extension PHP jQuery (jQuery-File-Upload).

Si vous disposez d’un logiciel libre ou commercial qui utilise le module d’extension PHP jQuery (jQuery-File-Upload), veuillez vous référer à l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.

Les détails concernant cette faille sont disponibles aux liens suivants :

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

 

Bulletin de sensibilisation à la sécurité de l’information « Ouch ! » (octobre 2018)
Centre de services TI posté le oct. 12, 2018

Faille de sécurité pour les appareils de stockage réseau « Western Digital - My Cloud » avec une version du micrologiciel antérieure à 2.30.196
Centre de services TI posté le oct. 03, 2018

Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant des équipements de stockage réseau (NAS) « Western digital My Cloud » a été publié.

Cette faille permet à un système malveillant d’obtenir les droits d’administration sur un système vulnérable, sans authentification.

Cette vulnérabilité peut être corrigée avec une mise à jour du micrologiciel :

Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.