Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions 3.2.0 à 4.8.3). La faille la plus critique permet à un utilisateur malveillant de contourner les politiques de sécurité du serveur SAMBA.
Veuillez noter que les versions « 4.8.4 », « 4.7.9 » et « 4.6.16 » de SAMBA corrigent ces vulnérabilités (http://samba.org/samba/). Pour les autres versions, des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/ .
Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :
- CVE-2018-10858 : https://www.samba.org/samba/security/CVE-2018-10858.html
- CVE-2018-10918 : https://www.samba.org/samba/security/CVE-2018-10918.html
- CVE-2018-10919 : https://www.samba.org/samba/security/CVE-2018-10919.html
- CVE-2018-1139 : https://www.samba.org/samba/security/CVE-2018-1139.html
- CVE-2018-1140 : https://www.samba.org/samba/security/CVE-2018-1140.html
À noter que les équipements de type « NAS » utilisent souvent des implémentations SAMBA pour le service de partage de fichiers. Il est important de valider l'existence des mises à jour des micrologiciels (« firmware ») offertes par les fabricants.
Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».
Pour rester informé des actualités concernant la sécurité informatique (alertes, vulnérabilités, failles, recommandations), veuillez vous abonner au blog de la Sécurité des Technologies de l’information.
Advenant le cas où vous avez reçu ce courriel et que vous n’êtes pas l’administrateur de systèmes ou le responsable informatique de votre unité, veuillez svp le transmettre à votre responsable d’unité.
Les Technologies de l’information vous remercient de votre collaboration.
Vue d'ensemble
Gestion des contenus