Le logiciel de sécurité McAfee Endpoint Security 10.6 pour Windows est maintenant disponible dans la logithèque pour les ordinateurs personnels et les postes informatiques non gérés par les Technologies de l’information.
McAfee Endpoint Security offre une protection contre les cybermenaces et remplace l’actuel antivirus McAfee VirusScan. Au moment de l’installation de McAfee Endpoint Security, si l’ordinateur possède déjà l’antivirus McAfee VirusScan, ce dernier sera automatiquement désinstallé.
Nous vous rappelons que les Technologies de l’information se chargent de l’installation des logiciels de sécurité sur les postes informatiques qu’elles gèrent. McAfee Endpoint Security ne doit donc pas être installé sur des postes informatiques institutionnels.
Informations supplémentaires au sujet de McAfee Endpoint Security 10.6 :
- Informations générales : https://www.mcafee.com/enterprise/fr-fr/products/endpoint-security.html
- Cinq raisons d’utiliser McAfee ENS : https://www.mcafee.com/enterprise/fr-fr/assets/infographics/infographic-5-reasons-migrate-ens.pdf
Pour toute question, veuillez communiquer avec le Centre de services des Technologies de l’information.
Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant le module « Commons FileUpload » du logiciel Apache Struts2 (versions 2.3.36 et moins) a été publié. À noter que la branche « 2.5 » des versions 2.5.12 et plus n’est pas affectée par cette vulnérabilité.
Cette faille majeure permet à des systèmes malveillants de téléverser, sans authentification, des fichiers vers un système vulnérable et d’y exploiter du code à distance.
Veuillez noter qu’une mise à jour pour le module « Commons FileUpload » est disponible et doit être effectuée manuellement afin de corriger la faille.
Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie Apache Struts2, veuillez vous référer au site de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.
Les détails concernant cette faille sont disponibles aux liens suivants :
- Publication de l'avis de sécurité pour le module "Commons FileUpload"
- https://www.tenable.com/security/research/tra-2016-12
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’un avis de sécurité affectant les serveurs HP qui exploitent HPE Integrated Lights-Out (iLO) 3, 4 et 5 a été publié.
Ces vulnérabilités permettent à des systèmes malveillants de provoquer une exécution de code arbitraire à distance. Les informations confidentielles sont donc potentiellement à risque.
Le fabricant HP a publié des mises à jour de sécurité qui corrigent ces vulnérabilités :
- iLO 5 v1.35
- iLO 4 v2.61
- iLO 3 v1.90
Pour accéder aux correctifs, se référer au bulletin de sécurité de l'éditeur :
- https://support.hpe.com/hpsc/doc/public/display?sp4ts.oid=null&docLocale=en_US&docId=emr_na-hpesbhf03866en_us
- https://support.hpe.com/hpesc/public/home/
Veuillez noter que s’il ne vous est pas possible d’installer les mises à jour, vous pouvez :
- désactiver SSH ;
- désactiver l’accès au port série ;
- utiliser une authentification pour l’accès au port série.
Les détails concernant cette faille sont disponibles au lien suivant :
- Référence CVE CVE-2018-7105 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7105
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant la bibliothèque « libssh » (versions 0.6 et plus) des serveurs a été publié.
Cette faille majeure permet à des systèmes malveillants de contourner la politique de sécurité d’un serveur vulnérable, sans authentification, et d’y exploiter du code à distance.
L'éditeur a publié des mises à jour de sécurité qui corrigent ces vulnérabilités. Nous demandons à ceux qui utilisent ce logiciel d’installer les mises à jour publiées :
- La révision 0.7.6 corrige la faille pour les versions de la famille/branche 0.7.6 et moins.
- La révision 0.8.4 corrige la faille pour les versions de la famille/branche 0.8.4 et moins.
- Les versions 0.6.x, 0.5.x, 0.4.x sont vulnérables et une mise à jour est nécessaire.
Les détails concernant cette vulnérabilité sont disponibles aux liens suivants :
- https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/ ».
- Référence technique : https://www.libssh.org/security/advisories/CVE-2018-10933.txt
- CVE-2018-10933 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10933
Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie « libssh », veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant le module d'extension PHP jQuery (jQuery File Upload) versions 9.22.1 et antérieures a été publié.
Cette faille permet à des systèmes malveillants de téléverser, sans authentification, un fichier vers un serveur vulnérable et d’y exploiter du code à distance.
Cette vulnérabilité de sécurité peut être exploitée sur :
- un serveur web où est installée l’extension pour exécuter des scripts PHP dans le répertoire local du projet.
- un serveur qui n’est pas paramétré pour empêcher l’exécution des fichiers du répertoire de téléversement configuré par le module d’extension PHP jQuery (jQuery-File-Upload).
- un serveur web de type Apache (versions 2.3.9 et plus) pour utiliser l’option AllowOverride et la valeur de configuration « none ».
- un serveur qui ne supporte pas le contrôle d’accès à l’aide d’un fichier « .htaccess ».
Veuillez noter que cette vulnérabilité peut être corrigée avec la version 9.22.1 du module d’extension PHP jQuery (jQuery-File-Upload).
Si vous disposez d’un logiciel libre ou commercial qui utilise le module d’extension PHP jQuery (jQuery-File-Upload), veuillez vous référer à l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.
Les détails concernant cette faille sont disponibles aux liens suivants :
- CVE-2018-9206 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206
- Références techniques: https://github.com/blueimp/jQuery-File-Upload/blob/master/VULNERABILITIES.md#remote-code-execution-vulnerability-in-the-php-component
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant des équipements de stockage réseau (NAS) « Western digital My Cloud » a été publié.
Cette faille permet à un système malveillant d’obtenir les droits d’administration sur un système vulnérable, sans authentification.
Cette vulnérabilité peut être corrigée avec une mise à jour du micrologiciel :
- My Cloud FW 2.30.196
- My Cloud Mirror Gen2 FW 2.30.196
- My Cloud EX2 Ultra FW 2.30.196
- My Cloud EX2100 FW 2.30.196
- My Cloud EX4100 FW 2.30.196
- My Cloud DL2100 FW 2.30.196
- My Cloud DL4100 FW 2.30.196
- My Cloud PR2100 FW 2.30.196
- My Cloud PR4100 FW 2.30.196
Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :
- CVE-2018-17153
- https://support.wdc.com/knowledgebase/answer.aspx?ID=25952&s
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17153
- https://www.theregister.co.uk/2018/09/18/remote_access_vulnerability_western_digital_my_cloud
- https://securify.nl/nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Une vague de courriels frauduleux, de type hameçonnage, a affecté l'Université de Montréal en fin de semaine. Ces courriels ont été bloqués depuis.
Plusieurs de nos utilisateurs ont reçu un message d’un expéditeur leur demandant de vérifier une facture envoyée en pièce jointe.
Il ne faut surtout pas ouvrir ces fichiers .pdf ou .doc .
D’une façon générale, il ne faut jamais cliquer sur un lien ou sur des fichiers joints provenant d’un courriel qui vous paraît suspect.
Si vous l’avez déjà ouvert, veuillez communiquer immédiatement avec le Centre de services TI au 514 343‐7288 afin de faire vérifier votre ordinateur.
Pour de plus amples renseignements sur l’hameçonnage et sur les façons de s’en protéger , veuillez consulter la page consacrée à ce sujet.
Les TI vous remercient de votre collaboration.
Le Centre de services TI
Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Apache Struts2 (versions « 2.3 » à « 2.3.34 » et versions « 2.5 » à « 2.5.16 ») qu’un avis de sécurité a été publié.
Cette faille majeure permet à des systèmes malveillants d’exploiter du code à distance. De plus, l’exploitation de cette faille ne nécessite aucune authentification sur un système vulnérable.
Veuillez noter que les versions « 2.3.35 » et « 2.5.17 » d’Apache Struts2 corrigent la vulnérabilité. Pour les versions « 2.3 » à « 2.3.34 » et les versions « 2.5 » à « 2.5.16 », un correctif peut être téléchargé à partir du site de Struts.
Les détails concernant cette faille sont disponibles aux liens suivants :
- https://struts.apache.org/announce.html
- https://cwiki.apache.org/confluence/display/WW/S2-057
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie Apache Struts2, veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions 3.2.0 à 4.8.3). La faille la plus critique permet à un utilisateur malveillant de contourner les politiques de sécurité du serveur SAMBA.
Veuillez noter que les versions « 4.8.4 », « 4.7.9 » et « 4.6.16 » de SAMBA corrigent ces vulnérabilités (http://samba.org/samba/). Pour les autres versions, des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/ .
Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :
- CVE-2018-10858 : https://www.samba.org/samba/security/CVE-2018-10858.html
- CVE-2018-10918 : https://www.samba.org/samba/security/CVE-2018-10918.html
- CVE-2018-10919 : https://www.samba.org/samba/security/CVE-2018-10919.html
- CVE-2018-1139 : https://www.samba.org/samba/security/CVE-2018-1139.html
- CVE-2018-1140 : https://www.samba.org/samba/security/CVE-2018-1140.html
À noter que les équipements de type « NAS » utilisent souvent des implémentations SAMBA pour le service de partage de fichiers. Il est important de valider l'existence des mises à jour des micrologiciels (« firmware ») offertes par les fabricants.
Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».
Pour rester informé des actualités concernant la sécurité informatique (alertes, vulnérabilités, failles, recommandations), veuillez vous abonner au blog de la Sécurité des Technologies de l’information.
Advenant le cas où vous avez reçu ce courriel et que vous n’êtes pas l’administrateur de systèmes ou le responsable informatique de votre unité, veuillez svp le transmettre à votre responsable d’unité.
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’une vulnérabilité critique affectant « Java VM » d’Oracle Database Server a été publiée. L’exploitation de la faille de sécurité permet à un système malveillant de prendre le contrôle à distance d’une base de données Oracle.
Les produits concernés par cette faille sont les versions « 11.2.0.4 », « 12.1.0.2 », « 12.2.0.1 » et « 18 » d’Oracle Database Server.
Veuillez noter que cette vulnérabilité est corrigée par une mise à jour (« hors cycle ») d’Oracle Database Server.
Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :
- Oracle : http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
- CVE: CVE-2018-3110
Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Les Technologies de l’information souhaitent informer les responsables informatiques des unités que des avis de vulnérabilités affectant les processeurs d’ordinateurs Intel « L1TF » ont été publiés.
Ces vulnérabilités d’exécutions spéculatives exploitent les fonctionnalités de performance des processeurs et peuvent ainsi permettre à des systèmes malveillants de dérober des données stockées sur les ordinateurs. Les informations confidentielles sont donc potentiellement à risque.
Pour remédier à ces failles, il existe trois vecteurs d’exploitation pour lesquels un correctif existe :
- CVE-2018-3615 - L1 Terminal Fault: SGX :
- Peu d’impact sur la performance : Mise à jour du microcode CPU de Intel.
- CVE-2018-3620 - L1 Terminal Fault: OS/SMM :
- Peu d’impact sur la performance : Mise à jour du noyau (« Kernel ») du système d’exploitation (Windows, Linux, BSD).
- CVE-2018-3646 - L1 Terminal Fault: VMM :
- Peu d’impact sur la performance : Mise à jour de l’hyperviseur (partiel).
- Impact sur la performance : Désactivation de l’ « HyperThreading » et mise à jour de l’hyperviseur (complet).
Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens ci-dessous :
- Vidéo de vulgarisation du vecteur de la faille :
- Intel :
- Faille Foreshadow :
- Linux (« Kernel ») :
Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.