Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant le logiciel PHP (version 5.6 et plus) qu’un avis de sécurité a été publié.

De nombreuses failles permettent à un attaquant de provoquer, sur un système vulnérable, un problème de sécurité non spécifié par l'éditeur et un déni de service à distance.

Les produits affectés sont :

• PHP      versions 5.6.x antérieures à 5.6.40
• PHP      versions 7.1.x antérieures à 7.1.26
• PHP      versions 7.2.x antérieures à 7.2.14
• PHP      versions antérieures à 7.3.1

Nous recommandons aux unités qui utilisent des produits affectés de procéder aux essais et au déploiement des mises à jour en fonction de la version utilisée.

Les mises à jour de sécurité ainsi que des détails concernant les failles sont disponibles aux liens suivants :

• http://www.php.net/ChangeLog-5.php#5.6.40
• http://www.php.net/ChangeLog-7.php#7.1.26
• http://www.php.net/ChangeLog-7.php#7.2.14
• http://www.php.net/ChangeLog-7.php#7.3.1
• http://php.net/downloads.php
• CVE-2018-19935

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.