Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Pulse Connect Secure 8.1.x versions antérieures à 8.1R15.1 (8.1.15.59747)
  • Pulse Connect Secure 8.2.x versions antérieures à 8.2R12.1 (8.2.12.64003)
  • Pulse Connect Secure 8.3 versions antérieures à 8.3R7.1 (8.3.7.65025)
  • Pulse Connect Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.64055) & 9.0R3.4 (9.0.3.64053)
  • Pulse Connect Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1505)
  • Pulse Policy Secure 5.1R15.1 (5.1.15.50767)
  • Pulse Policy Secure 5.2R12.1 (5.2.12.50765)
  • Pulse Policy Secure 5.3R12.1 (5.3.12.50975)
  • Pulse Policy Secure 5.4.x versions antérieures à 5.4R7.1 (5.4.7.51119)
  • Pulse Policy Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.51871) et 9.0R3.2 (9.0.3.51873)
  • Pulse Policy Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1231)

Résumé

Le 24 avril 2019, l'éditeur Pulse Secure a émis un avis de sécurité pour les produits Pulse Connect Secure et Pulse Policy Secure. Le CERT-FR a ensuite publié un bulletin d'actualité portant sur plusieurs produits, dont les produits Pulse Secure (cf. section Documentation).

Le CERT-FR a connaissance de cas d'exploitation des vulnérabilités affectant les produits Pulse Secure n'ayant pas appliqué ces mises à jour de sécurité. Le CERT-FR recommande donc fortement l'application du correctif mis à disposition le 24 avril 2019, et ce, dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation