Avis du CERT-FR

Objet: Vulnérabilité dans Pulse Secure Virtual Traffic Manager

Gestion du document

Référence	CERTFR-2021-AVI-362
Titre	Vulnérabilité dans Pulse Secure Virtual Traffic Manager
Date de la première version	12 mai 2021
Date de la dernière version	12 mai 2021
Source(s)	Bulletin de sécurité Pulse Secure SA44790 du 11 mai 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Contournement de la politique de sécurité

Systèmes affectés

Virtual Traffic Manager versions 21.x antérieures à 21.1
Virtual Traffic Manager versions 20.x antérieures à 20.3R1, 20.2R1 et 20.1R2
Virtual Traffic Manager versions 19.x antérieures à 19.2R4
Virtual Traffic Manager versions 18.x antérieures à 18.2R3

Résumé

Une vulnérabilité a été découverte dans Pulse Secure Virtual Traffic Manager. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité lorsque l'équipement est configuré pour prendre en charge HTTP/2.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Pulse Secure SA44790 du 11 mai 2021
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44790/?kA23Z000000boUbSAI
Référence CVE CVE-2021-31922
https://www.cve.org/CVERecord?id=CVE-2021-31922

Gestion détaillée du document

le 12 mai 2021: Version initiale