Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant la bibliothèque « libssh » (versions 0.6 et plus) des serveurs a été publié.

Cette faille majeure permet à des systèmes malveillants de contourner la politique de sécurité d’un serveur vulnérable, sans authentification, et d’y exploiter du code à distance.

L'éditeur a publié des mises à jour de sécurité qui corrigent ces vulnérabilités. Nous demandons à ceux qui utilisent ce logiciel d’installer les mises à jour publiées :

• La révision 0.7.6 corrige la faille pour les versions de la famille/branche 0.7.6 et moins.
• La révision 0.8.4 corrige la faille pour les versions de la famille/branche 0.8.4 et moins.
• Les versions 0.6.x, 0.5.x, 0.4.x sont vulnérables et une mise à jour est nécessaire.

Les détails concernant cette vulnérabilité sont disponibles aux liens suivants :

• https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/ ».
• Référence technique : https://www.libssh.org/security/advisories/CVE-2018-10933.txt
• CVE-2018-10933 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10933

Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie « libssh », veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.