Nous avons reçu l'alerte disant que la « faille du CRC-32, qui permet de faire exécuter à SSH des commandes arbitraires (compensator attack) » était largement exploitée. Il s'agit d'une erreur sur les entiers, du même type que celle préalablement corrigée pour OpenSSH dans le DSA-027-1. OpenSSH (le paquet Debian ssh) a été corrigé à ce moment là, mais ssh-nonfree et ssh-socks ne l'avaient pas été.
Bien que les paquets de la partie non-free des archives ne soient pas officiellement supportés par le projet Debian, nous avons pris exceptionnellement la décision de publier une mise à jour des paquets ssh-nonfree/ssh-socks pour les utilisateurs n'ayant pas encore migré vers OpenSSH. Toutefois, nous recommandons à nos utilisateurs de migrer vers le paquet, en accord avec les principes du logiciel libre selon Debian (DFSG) « ssh »régulièrement supporté, aussitôt que possible. ssh 1.2.3-9.3 est le paquet OpenSSH disponible dans Debian 2.2r4.
Les paquets corrigés de ssh-nonfree/ssh-socks sont disponibles dans la version 1.2.27-6.2 pour Debian 2.2 (potato) et dans la version 1.2.27-8 pour les distributions Debian unstable et testing. Notez que le nouveau paquet ssh-nonfree/ssh-socks enlève le bit setuid du binaire ssh, enlevant du fait l'authentification rhost-rsa. Si vous avez besoin de cette fonctionnalité, exécutez
chmod u+s /usr/bin/ssh1
après avoir installé le nouveau paquet.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.