用于数字签名和验证软件组件的代码签名证书过期后,全球用户无法连接到Pulse Secure VPN设备。
随着员工周末归来,网络管理员一直报告[1、2、3、4]用户无法连接到Pulse Secure VPN设备访问公司内部资源。
“从今天起,员工不再从家里访问我们的系统。通常,他们通过web界面登录Pulse Secure,然后选择他们的PC,然后通过终端服务器服务转发,”一位客户在Pulse Secure论坛上说。
此问题会影响尝试通过浏览器连接到公司资源的用户,用户会收到一个错误,说明“发生了意外错误”,然后是另一个错误,说明“检测到内部错误”。请重试。如果问题仍然存在,请与管理员联系。
使用Pulse Secure客户端软件时出错
此问题影响全局用户,并由过期的代码签名证书和Pulse Secure软件中的错误引起,该错误未正确验证可执行文件是否已签名。
中断后验证签名文件的错误
代码签名证书允许开发人员对程序的可执行文件进行数字签名,以便Windows和最终用户可以验证它们是否被第三方篡改。如果以某种方式修改了已签名的可执行文件或DLL,操作系统将不再考虑已签名的程序,并导致警告或其他错误。
在对可执行文件进行签名时,开发人员可以使用可选的时间戳服务器,该服务器向签名添加权威时间戳,以证明文件是何时由证书签名的。
时间戳的好处是它证明了可执行文件是在证书过期或吊销之前签名的。因此,它允许Windows即使在证书失效之后也考虑签名的文件。
在12日发布的一份新的支持公告中,Pulse Secure解释说“对于终端用户,多个功能/特性因证书错误而失败。”
Pulse-Secure表示,这个问题是由一个错误引起的,这个错误没有正确地验证Pule-Secure组件是否已签名,因为它正在检查证书的过期日期,而不是数字签名文件上的时间戳。
由于用于对文件进行签名的代码签名证书已于12日过期,该漏洞会阻止软件正常运行,用户无法登录到VPN设备。
一份新的Pulse-Secure公告解释说:“客户端组件上的代码签名验证失败,因为证书过期时间被检查,而不是代码签名的时间戳。”
此错误正在影响下面列出的Pulse Connect Secure(PCC)和Pulse Policy Secure(PPS)产品的用户:
1.这会影响PCS/PP。
2.这会影响以下版本,
9.1R11.x条
9.1R10.x条
9.1R9.x条
9.1R8.x条
3.这只影响Windows端点。
4.以下功能受到影响:
终端服务。
JSAM公司
滚刀
CTS公司
VDI公司
安全会议(Pulse协作)。
主机检查器。
通过浏览器启动PDC。
启用HC的带外部浏览器的SAML。
该漏洞不会影响直接使用Pulse桌面客户端的用户、macOS或Linux用户以及9.1R8.x之前的版本。
pulesecure表示,他们正在开发一个基于9.1R11.x版客户端软件的修复程序,并希望在当天结束前发布。目前,建议用户使用Pulse桌面客户端,而不是通过浏览器连接。
Pulse-Secure管理员还发现,他们可以通过切换到终端用户的HTML5访问配置文件来解决这个问题。用户还可以通过Pulse Secure VPN隧道功能连接到RDP。
【参考来源:bleepingcomputer】
