Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’un avis de sécurité affectant les serveurs HP qui exploitent HPE Integrated Lights-Out (iLO) 3, 4 et 5 a été publié.
Ces vulnérabilités permettent à des systèmes malveillants de provoquer une exécution de code arbitraire à distance. Les informations confidentielles sont donc potentiellement à risque.
Le fabricant HP a publié des mises à jour de sécurité qui corrigent ces vulnérabilités :
- iLO 5 v1.35
- iLO 4 v2.61
- iLO 3 v1.90
Pour accéder aux correctifs, se référer au bulletin de sécurité de l'éditeur :
- https://support.hpe.com/hpsc/doc/public/display?sp4ts.oid=null&docLocale=en_US&docId=emr_na-hpesbhf03866en_us
- https://support.hpe.com/hpesc/public/home/
Veuillez noter que s’il ne vous est pas possible d’installer les mises à jour, vous pouvez :
- désactiver SSH ;
- désactiver l’accès au port série ;
- utiliser une authentification pour l’accès au port série.
Les détails concernant cette faille sont disponibles au lien suivant :
- Référence CVE CVE-2018-7105 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7105
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Vue d'ensemble
Gestion des contenus