Vulnérabilité dans Pulse Secure Virtual Traffic Manager

Gestion du document

Référence	CERTFR-2021-AVI-362
Titre	Vulnérabilité dans Pulse Secure Virtual Traffic Manager
Date de la première version	12 mai 2021
Date de la dernière version	12 mai 2021
Source(s)	Bulletin de sécurité Pulse Secure SA44790 du 11 mai 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité

Systèmes affectés

Virtual Traffic Manager versions 18.x antérieures à 18.2R3
Virtual Traffic Manager versions 19.x antérieures à 19.2R4
Virtual Traffic Manager versions 20.x antérieures à 20.3R1, 20.2R1 et 20.1R2
Virtual Traffic Manager versions 21.x antérieures à 21.1

Résumé

Une vulnérabilité a été découverte dans Pulse Secure Virtual Traffic Manager. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité lorsque l'équipement est configuré pour prendre en charge HTTP/2.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Pulse Secure SA44790 du 11 mai 2021

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44790/?kA23Z000000boUbSAI

Référence CVE CVE-2021-31922

https://www.cve.org/CVERecord?id=CVE-2021-31922

Avis du CERT-FR