Il ne s’agit pas d’une faille propre à SSH, mais plutôt d’erreurs de mise en oeuvre du protocole dans certains produits du marché. Ces faiblesses ont étés mises en lumière en décembre dernier par la société Rapid7 , et rapidement reprises par le CERT (Computer Emergency Response Team).Nous avions alors décidé de ne pas reprendre l’information, jugeant que l’alerte ne concernait pas le protocole SSH lui-même et ne donnait qu’une vue partielle de l’état des produits du marché. De nombreux éditeurs ne savaient pas encore si leur produit était concerné par ces erreurs, n’avaient pas même pris la peine de répondre aux demandes du CERT ou n’étaient tout simplement pas vulnérables.Aujourd’hui, la liste s’est étoffée et on y trouve enfin des informations intéressantes pour les administrateurs : on y apprend ainsi que plusieurs produits Cisco sont vulnérables, ainsi que ceux de Juniper Networks ou Nortel Networks. En revanche, les clients SSH de Solaris 9, AIX, Mac OS X ou encore l’implémentation Open Source OpenSSL ne sont pas vulnérables.