ALERTE CERTFR - 2020 - ALE - 001

ALERTE CERT
CERT-FR

Publié le 9 janvier 2020 à 17h50 - Mis à jour le 31 janvier 2025 à 11h51

Objet

Multiples vulnérabilités dans les produits de Pulse Secure

Référence

CERTFR-2020-ALE-001

Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Pulse Connect Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1505)
  • Pulse Connect Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.64055) & 9.0R3.4 (9.0.3.64053)
  • Pulse Connect Secure 8.3 versions antérieures à 8.3R7.1 (8.3.7.65025)
  • Pulse Connect Secure 8.2.x versions antérieures à 8.2R12.1 (8.2.12.64003)
  • Pulse Connect Secure 8.1.x versions antérieures à 8.1R15.1 (8.1.15.59747)
  • Pulse Policy Secure 9.1.x versions antérieures à 9.1R1 (9.1.1.1231)
  • Pulse Policy Secure 9.0.x versions antérieures à 9.0R4 (9.0.4.51871) et 9.0R3.2 (9.0.3.51873)
  • Pulse Policy Secure 5.4.x versions antérieures à 5.4R7.1 (5.4.7.51119)
  • Pulse Policy Secure 5.3R12.1 (5.3.12.50975)
  • Pulse Policy Secure 5.2R12.1 (5.2.12.50765)
  • Pulse Policy Secure 5.1R15.1 (5.1.15.50767)

Résumé

Le 24 avril 2019, l'éditeur Pulse Secure a émis un avis de sécurité pour les produits Pulse Connect Secure et Pulse Policy Secure. Le CERT-FR a ensuite publié un bulletin d'actualité portant sur plusieurs produits, dont les produits Pulse Secure (cf. section Documentation).

Le CERT-FR a connaissance de cas d'exploitation des vulnérabilités affectant les produits Pulse Secure n'ayant pas appliqué ces mises à jour de sécurité. Le CERT-FR recommande donc fortement l'application du correctif mis à disposition le 24 avril 2019, et ce, dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/