Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Apache Struts2 (versions « 2.3 » à « 2.3.34 » et versions « 2.5 » à « 2.5.16 ») qu’un avis de sécurité a été publié.
Cette faille majeure permet à des systèmes malveillants d’exploiter du code à distance. De plus, l’exploitation de cette faille ne nécessite aucune authentification sur un système vulnérable.
Veuillez noter que les versions « 2.3.35 » et « 2.5.17 » d’Apache Struts2 corrigent la vulnérabilité. Pour les versions « 2.3 » à « 2.3.34 » et les versions « 2.5 » à « 2.5.16 », un correctif peut être téléchargé à partir du site de Struts.
Les détails concernant cette faille sont disponibles aux liens suivants :
- https://struts.apache.org/announce.html
- https://cwiki.apache.org/confluence/display/WW/S2-057
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie Apache Struts2, veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre collaboration.
Vue d'ensemble
Gestion des contenus