Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie WordPress (versions 5.1.x et plus) qu’une mise à jour cumulative de sécurité est disponible.
Plusieurs failles sont corrigées par cette mise à jour. Les correctifs ont été adaptés pour les versions antérieures de WordPress. Les détails concernant les vulnérabilités corrigées sont disponibles aux liens suivants :
- https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
- https://en-ca.wordpress.org/download/
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
()
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent le logiciel client SSH PuTTY (versions antérieures à 0.71) qu’un avis de sécurité a été publié.
Des failles peuvent être exploitées sur un système vulnérable si le logiciel client PuTTY se connecte à un serveur SSH malicieux.
Veuillez noter qu’une mise à jour corrigeant plusieurs vulnérabilités est disponible. Pour les détails concernant les failles corrigées, consulter le lien suivant :
Pour télécharger la version 0.71 du logiciel PuTTY, cliquer sur le lien ci-dessous :
Nous recommandons aux unités qui exploitent une version vulnérable du logiciel PuTTY de procéder à la mise à jour nécessaire.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
()
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent des ordinateurs exploitant le système d’exploitation Windows (7 et 10) et qui possèdent une carte graphique Intel qu’un avis de sécurité a été publié concernant les pilotes de périphériques « device driver ».
Les failles permettent à un attaquant d’escalader localement des privilèges de type « utilisateur » et ainsi compromettre l’intégrité et la confidentialité d’un système vulnérable.
Les versions des pilotes de périphériques ci-dessous corrigent les vulnérabilités :
- 10.18.x.5059 (aka 15.33.x.5059)
- 10.18.x.5057 (aka 15.36.x.5057)
- 20.19.x.5063 (aka 15.40.x.5063)
- 21.20.x.5064 (aka 15.45.x.5064)
- 24.20.100.6373
Veuillez consulter le lien suivant pour le téléchargement des versions corrigées des pilotes affectés : https://downloadcenter.intel.com/product/80939/Graphics-Drivers
Nous recommandons aux unités qui exploitent des systèmes vulnérables de procéder aux mises à jour nécessaires.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
()
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un ordinateur non géré exploitant certains micrologiciels Intel qu’un avis de sécurité a été publié.
De nombreuses failles permettent à un acteur malveillant, ayant un accès physique ou un accès à distance autorisé, de prendre le contrôle du système vulnérable. À noter qu’aucune de ces failles n’est exploitable à distance.
Les informations sur les micrologiciels affectés ainsi que les mises à jour sont disponibles dans le tableau ci-dessous :
Micrologiciel | Mise à jour |
Intel® Rapid Storage Technology enterprise (Intel® RSTe) | https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00231.html |
Intel® CSME | https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00185.html
|
Intel® Server Platform Services | |
Intel® Trusted Execution Engine | |
Intel® Active Management Technology | |
Intel® Firmware
| https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00191.html
|
Nous recommandons aux unités qui utilisent ces micrologiciels de procéder à la mise à jour de leurs systèmes en se référant aux avis des manufacturiers des équipements affectés et selon la disponibilité des correctifs.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
()
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Drupal (versions 8.5.x et 8.6.x et certains modules de la version 7) qu’un avis de sécurité a été publié.
La faille de sécurité, qui est activement exploitée, permet l’exécution de code à distance sur un système vulnérable. Plus précisément, une faille existe dans l’implémentation « rest » (« RESTful Web Services ») du gestionnaire de contenu Drupal.
La faille est corrigée par la mise à niveau du logiciel :
- Pour les versions 8.5.x, la version corrigée est 8.5.11.
- Pour les versions 8.6.x, la version corrigée est 8.6.10.
- Pour les versions 7.x, il faut valider la disponibilité des mises à jour, selon les modules actifs installés.
Nous recommandons aux unités qui utilisent ce produit de procéder à la mise à jour cumulative de sécurité du logiciel Drupal, en fonction de la version utilisée.
Les détails concernant cette faille sont disponibles aux liens suivants :
- https://www.drupal.org/SA-CORE-2019-003
- https://www.drupal.org/psa-2019-02-22
- https://www.drupal.org/security/contrib
- https://nvd.nist.gov/vuln/detail/CVE-2019-6340
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer la communauté universitaire qu’un avis de sécurité affectant le logiciel Antidote a été publié.
La faille de sécurité permet à un pirate d’obtenir, à distance, le nom d'usager et le mot de passe d’un utilisateur d'Antidote. Les informations confidentielles sont donc potentiellement à risque.
La compagnie Druide informatique a publié une version corrigée du logiciel, disponible pour les versions 8, 9 et 10 d’Antidote.
Veuillez noter que tous les postes gérés de l'Université de Montréal, membres du domaine SIM, seront mis à jour automatiquement par les Technologies de l’information. Les correctifs seront appliqués graduellement d’ici le 27 février 2019, selon les versions d’Antidote. La mise à jour d’Antidote sera faite de manière transparente et aucune intervention de la part des utilisateurs n’est requise.
Les détenteurs de postes non gérés par l’Université doivent procéder à la mise à jour du logiciel. La version corrigée d’Antidote est disponible dans la Logithèque.
Pour toutes questions, veuillez communiquer avec le Centre de services des Technologies de l’information par le formulaire d’aide ou par téléphone au 514-343-7288.
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant le logiciel PHP (version 5.6 et plus) qu’un avis de sécurité a été publié.
De nombreuses failles permettent à un attaquant de provoquer, sur un système vulnérable, un problème de sécurité non spécifié par l'éditeur et un déni de service à distance.
Les produits affectés sont :
- PHP versions 5.6.x antérieures à 5.6.40
- PHP versions 7.1.x antérieures à 7.1.26
- PHP versions 7.2.x antérieures à 7.2.14
- PHP versions antérieures à 7.3.1
Nous recommandons aux unités qui utilisent des produits affectés de procéder aux essais et au déploiement des mises à jour en fonction de la version utilisée.
Les mises à jour de sécurité ainsi que des détails concernant les failles sont disponibles aux liens suivants :
- http://www.php.net/ChangeLog-5.php#5.6.40
- http://www.php.net/ChangeLog-7.php#7.1.26
- http://www.php.net/ChangeLog-7.php#7.2.14
- http://www.php.net/ChangeLog-7.php#7.3.1
- http://php.net/downloads.php
- CVE-2018-19935
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant le logiciel Internet Explorer (versions 9 à 11) qu’une mise à jour « hors cycle » de sécurité est disponible chez Microsoft.
La mise à jour corrige une faille dans la librairie de l’engin de script « JSCRIPT ». Cette faille permet à un moteur de script de traiter les objets en mémoire dans Internet Explorer (versions 9 à 11). Par conséquent, ceci pourrait altérer la mémoire d’un poste vulnérable et permettre à un système malveillant d’exécuter du code arbitraire à distance.
Les postes de travail gérés par les Technologies de l’information seront automatiquement mis à jour prochainement.
Pour les postes personnels ou autres systèmes non gérés par les Technologies de l’information, l’application du correctif doit se faire manuellement. Veuillez noter qu’une solution de contournement est également disponible et accessible dans l’avis publié par Microsoft.
Pour plus de détails concernant cette faille et pour accéder au correctif approprié, selon la version du système d’exploitation et la version du fureteur Internet Explorer, veuillez vous référer au lien suivant : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2018-8653.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie « Wordpress versions 3.7.x et plus » qu’une mise à jour cumulative de sécurité est disponible.
Plusieurs failles sont corrigées par cette mise à jour. Les correctifs ont été adaptés pour les versions antérieures à la version 5 de Wordpress (branches 3.7 à 4.9). Les détails concernant les failles corrigées sont disponibles aux liens suivants :
- https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
- https://wordpress.org/download/releases/
Veuillez noter qu’il existe certains problèmes avec la rétrocompatibilité des correctifs pour les versions antérieures. Pour plus de détails, consulter le site suivant :
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Le logiciel de sécurité McAfee Endpoint Security 10.6 pour Windows est maintenant disponible dans la logithèque pour les ordinateurs personnels et les postes informatiques non gérés par les Technologies de l’information.
McAfee Endpoint Security offre une protection contre les cybermenaces et remplace l’actuel antivirus McAfee VirusScan. Au moment de l’installation de McAfee Endpoint Security, si l’ordinateur possède déjà l’antivirus McAfee VirusScan, ce dernier sera automatiquement désinstallé.
Nous vous rappelons que les Technologies de l’information se chargent de l’installation des logiciels de sécurité sur les postes informatiques qu’elles gèrent. McAfee Endpoint Security ne doit donc pas être installé sur des postes informatiques institutionnels.
Informations supplémentaires au sujet de McAfee Endpoint Security 10.6 :
- Informations générales : https://www.mcafee.com/enterprise/fr-fr/products/endpoint-security.html
- Cinq raisons d’utiliser McAfee ENS : https://www.mcafee.com/enterprise/fr-fr/assets/infographics/infographic-5-reasons-migrate-ens.pdf
Pour toute question, veuillez communiquer avec le Centre de services des Technologies de l’information.