Vulnérabilité dans Pulse Connect Secure

Gestion du document

Référence	CERTFR-2021-AVI-818
Titre	Vulnérabilité dans Pulse Connect Secure
Date de la première version	22 octobre 2021
Date de la dernière version	22 octobre 2021
Source(s)	Bulletin de sécurité Pulse SA44899 du 22 octobre 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance

Systèmes affectés

Pulse Connect Secure versions 9.1.x antérieures à 9.1R12.1

Résumé

Une vulnérabilité a été découverte dans Pulse Connect Secure. Elle permet à un attaquant de provoquer un déni de service à distance.

NOTE : dans sa version initiale (22 octobre 2021), l'avis évoque la possibilité pour un "administrateur non authentifié" d'exploiter la vulnérabilité. Après échange avec l'éditeur, il s'agit d'une erreur. Un "attaquant non authentifié" peut exploiter la vulnérabilité et provoquer un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Pulse SA44899 du 22 octobre 2021

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44899/

Référence CVE CVE-2021-22965

https://www.cve.org/CVERecord?id=CVE-2021-22965

Avis du CERT-FR