Avis du CERT-FR

Objet: Vulnérabilité dans Pulse Connect Secure

Gestion du document

Référence	CERTFR-2021-AVI-818
Titre	Vulnérabilité dans Pulse Connect Secure
Date de la première version	22 octobre 2021
Date de la dernière version	22 octobre 2021
Source(s)	Bulletin de sécurité Pulse SA44899 du 22 octobre 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Déni de service à distance

Systèmes affectés

Pulse Connect Secure versions 9.1.x antérieures à 9.1R12.1

Résumé

Une vulnérabilité a été découverte dans Pulse Connect Secure. Elle permet à un attaquant de provoquer un déni de service à distance.

NOTE : dans sa version initiale (22 octobre 2021), l'avis évoque la possibilité pour un "administrateur non authentifié" d'exploiter la vulnérabilité. Après échange avec l'éditeur, il s'agit d'une erreur. Un "attaquant non authentifié" peut exploiter la vulnérabilité et provoquer un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Pulse SA44899 du 22 octobre 2021
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44899/
Référence CVE CVE-2021-22965
https://www.cve.org/CVERecord?id=CVE-2021-22965

Gestion détaillée du document

le 22 octobre 2021: Version initiale