Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Pulse Connect Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1505)
- Pulse Connect Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.64055) & 9.0R3.4 (9.0.3.64053)
- Pulse Connect Secure 8.3 versions antérieures à 8.3R7.1 (8.3.7.65025)
- Pulse Connect Secure 8.2.x versions antérieures à 8.2R12.1 (8.2.12.64003)
- Pulse Connect Secure 8.1.x versions antérieures à 8.1R15.1 (8.1.15.59747)
- Pulse Policy Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1231)
- Pulse Policy Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.51871) et 9.0R3.2 (9.0.3.51873)
- Pulse Policy Secure 5.4.x versions antérieures à 5.4R7.1 (5.4.7.51119)
- Pulse Policy Secure 5.3R12.1 (5.3.12.50975)
- Pulse Policy Secure 5.2R12.1 (5.2.12.50765)
- Pulse Policy Secure 5.1R15.1 (5.1.15.50767)
Résumé
Le 24 avril 2019, l'éditeur Pulse Secure a émis un avis de sécurité pour les produits Pulse Connect Secure et Pulse Policy Secure. Le CERT-FR a ensuite publié un bulletin d'actualité portant sur plusieurs produits, dont les produits Pulse Secure (cf. section Documentation).
Le CERT-FR a connaissance de cas d'exploitation des vulnérabilités affectant les produits Pulse Secure n'ayant pas appliqué ces mises à jour de sécurité. Le CERT-FR recommande donc fortement l'application du correctif mis à disposition le 24 avril 2019, et ce, dans les plus brefs délais.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Pulse Secure SA44101 du 24 avril 2019
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101 - Bulletin CERT-FR CERTFR-2019-ACT-008 du 28 août 2019
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2019-ACT-008/
