Vulnérabilités

Un liste de produits SSH vulnérables.

Par Jerome Saiz, le 30 jan 2003 à 15:58:00.

Le CERT publie la liste mise à jour des produits victimes d'une mauvaise implémentation du protocole SSH. Si certains grands noms du marché ne sont pas concernés, de nombreux produits très répandus sont vulnérables et doivent être rapidement corrigés.

Il ne s'agit pas d'une faille propre à SSH, mais plutôt d'erreurs de mise en oeuvre du protocole dans certains produits du marché. Ces faiblesses ont étés mises en lumière en décembre dernier par la société Rapid7, et rapidement reprises par le CERT (Computer Emergency Response Team).
Nous avions alors décidé de ne pas reprendre l'information, jugeant que l'alerte ne concernait pas le protocole SSH lui-même et ne donnait qu'une vue partielle de l'état des produits du marché. De nombreux éditeurs ne savaient pas encore si leur produit était concerné par ces erreurs, n'avaient pas même pris la peine de répondre aux demandes du CERT ou n'étaient tout simplement pas vulnérables.
Aujourd'hui, la liste s'est étoffée et on y trouve enfin des informations intéressantes pour les administrateurs : on y apprend ainsi que plusieurs produits Cisco sont vulnérables, ainsi que ceux de Juniper Networks ou Nortel Networks. En revanche, les clients SSH de Solaris 9, AIX, Mac OS X ou encore l'implémentation Open Source OpenSSL ne sont pas vulnérables.

Plus d'information

L'alerte du CERT.

Utilisateurs de PCAnywhere, vous êtes vulnérables. (27 nov 2001)
Un million de portables VAIO (très) vulnérables. (26 jan 2002)
Bind de nouveau vulnérable. (13 nov 2002)
Une alliance pour mieux décrire les vulnérabilités. (20 fév 2005)
Mariage surprise dans l'audit de vulnérabilités. (07 déc 2002)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres