Joost Pol さんは OpenSSH バージョン 2.0 から 3.0.2 までに、チャネル割り当てコード内で範囲チェックを一誤るバグを発見しました。 この弱点は認証されたユーザが管理者特権を奪う攻撃に使え、また悪意を持つサーバから、接続されたクライアントをこのバグによって攻撃することもできます。

Debian 2.2 (potato) は OpenSSH (ssh パッケージ) バージョン 1.2.3 を収録 していますので、この弱点を持ちません。従って Debian 2.2 (potato) では修 正の必要はありません。

Debian 実験版と試験版のディストリビューションには、より新しい OpenSSH (ssh) パッケージが収録されています。もし、これら未リリースディストリビュ ーションを使われているなら、パッチが当てられている 3.0.2p1-8 (本日実験版 のアーカイブに収録されました) 以降を使っていることを確認してください。

訳注: Debian-Security でも話題になっていましたが、非公式の potato 向け KDE2 を入れている場合、OpenSSH が 2.x 版に入れ替わっているケースがあるようです (contrib にあるため)。思い当たる節のある方は確認要です。