Les Technologies de l’information souhaitent informer les responsables informatiques que la Fondation Apache a publié une mise à jour de sécurité pour le cadre applicatif (« framework ») Apache Struts.
Les produits affectés sont :
- Apache Struts 2.5 à Struts 2.5.14;
- Apache CouchDB avant 1.7.0 et 2.x, avant 2.1.1.
La mise à jour à la version 2.5.14.1 d’Apache Struts corrige des vulnérabilités critiques dont l'une d'elles affecte le logiciel Apache CouchDB. La faille de sécurité permet à un utilisateur de s’octroyer des droits d’administrateur et d’exécuter des scripts ou du code malicieux.
Les Technologies de l’information demandent aux utilisateurs de ce logiciel d’installer la mise à jour publiée.
Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :
- https://cwiki.apache.org/confluence/display/WW/S2-054;
- https://cwiki.apache.org/confluence/display/WW/S2-055;
- https://github.com/mbechler/marshalsec/blob/master/marshalsec.pdf;
- CVE: https://nvd.nist.gov/vuln/detail/CVE-2017-12635;
- CVE: https://nvd.nist.gov/vuln/detail/CVE-2017-12636.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Vue d'ensemble
Gestion des contenus