Blog pour janvier, 2019

Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant le logiciel PHP (version 5.6 et plus) qu’un avis de sécurité a été publié.

De nombreuses failles permettent à un attaquant de provoquer, sur un système vulnérable, un problème de sécurité non spécifié par l'éditeur et un déni de service à distance.

Les produits affectés sont :

• PHP      versions 5.6.x antérieures à 5.6.40
• PHP      versions 7.1.x antérieures à 7.1.26
• PHP      versions 7.2.x antérieures à 7.2.14
• PHP      versions antérieures à 7.3.1

Nous recommandons aux unités qui utilisent des produits affectés de procéder aux essais et au déploiement des mises à jour en fonction de la version utilisée.

Les mises à jour de sécurité ainsi que des détails concernant les failles sont disponibles aux liens suivants :

• http://www.php.net/ChangeLog-5.php#5.6.40
• http://www.php.net/ChangeLog-7.php#7.1.26
• http://www.php.net/ChangeLog-7.php#7.2.14
• http://www.php.net/ChangeLog-7.php#7.3.1
• http://php.net/downloads.php
• CVE-2018-19935

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant le logiciel Internet Explorer (versions 9 à 11) qu’une mise à jour « hors cycle » de sécurité est disponible chez Microsoft.  

La mise à jour corrige une faille dans la librairie de l’engin de script « JSCRIPT ».  Cette faille permet à un moteur de script de traiter les objets en mémoire dans Internet Explorer (versions 9 à 11).  Par conséquent, ceci pourrait altérer la mémoire d’un poste vulnérable et permettre à un système malveillant d’exécuter du code arbitraire à distance. 

Les postes de travail gérés par les Technologies de l’information seront automatiquement mis à jour prochainement.

Pour les postes personnels ou autres systèmes non gérés par les Technologies de l’information, l’application du correctif doit se faire manuellement.  Veuillez noter qu’une solution de contournement est également disponible et accessible dans l’avis publié par Microsoft.

Pour plus de détails concernant cette faille et pour accéder au correctif approprié, selon la version du système d’exploitation et la version du fureteur Internet Explorer, veuillez vous référer au lien suivant :  https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2018-8653.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.