Pulse Secure社製品に関する一部報道について

2020年9月改訂
株式会社日立ソリューションズ
Pulse Secure製品ユーザーサポート

平素はPulse Secure製品ユーザーサポートサイトをご利用下さいまして誠にありがとうございます。

2020年8月にPulse Secure社製品の脆弱性に関する一部報道がございました。こちらについて以下にご案内させていただきます。

なお、Pulse Connect Secure 8.2系につきましては本記事初版掲載時既にEOL(End of Life)となっていたことから、「2. 対象バージョン」への記述を行っておりませんでしたが、Pulse Connect Secure 8.2系も本脆弱性の対象であることから記述を追加させていただきます。

恐れ入りますが、対象バージョンをご利用のお客様におかれましては、下記対策の実施をお願いいたします。

Pulse Secure社製品の脆弱性に関する報道につきまして、メーカからの情報によると、2019年4月に公表された既知の脆弱性CVE-2019-11510によるものとのことでございます。

脆弱性CVE-2019-11510につきましては、2019年4月に本サポートサイトにてSecurity Advisoryとしてご案内(脆弱性SA44101)、また2019年9月に重要なお知らせとしてご案内しておりますが、まだ本脆弱性への対策を実施されていない場合は、改めて早急な対策の実施をお願いいたします。

Pulse Connect Secure 9.0R1 - 9.0R3.3
Pulse Connect Secure 8.3R1 - 8.3R7
Pulse Connect Secure 8.2R1 - 8.2R12
※ Pulse Connect Secure 9.1系への本脆弱性の影響はございません。
※ Pulse Connect Secure 8.1系およびそれ以前のバージョンへの本脆弱性の影響はございません。

弊社より提供可能な改修済みバージョンは以下となります。
Pulse Connect Secure 9.0R3.4 & 9.0R4
Pulse Connect Secure 8.3R7.1

回避策はありません。改修済みバージョンへのアップグレードを行い、下記「5. アップグレード後の作業」の実施をお願いいたします。

改修済みバージョンへのアップグレードを実施いただいた後に、以下の作業を実施いただけますようよろしくお願いいたします。

(1) PCSOSへのログインに使用するすべてのエンドユーザーと管理者のパスワードを変更する必要があります。
(2) PCSOSに保存されているサービスアカウント（LDAP、RADIUS、ADなど）のパスワードを変更する必要があります。
(3) 証明書署名要求（CSR）を新たに生成し、デバイス証明書を更新する必要があります。

メーカー情報ページ(2019年4月)
SA44101 - 2019-04: Out-of-Cycle Advisory: Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX
https://forums.ivanti.com/s/article/SA44101?language=en_US

弊社情報ページ(2019年9月)
脆弱性SA44101のPulse Secure製品への影響
https://csps.hitachi-solutions.co.jp/pulsesecure/info/oshirase127.html

本内容に対する不明点等ございましたら、弊社SA/MAG/PSAサポート(sa-user@hitachi-solutions.com)までご連絡ください。