Joost Pol berichtet, dass OpenSSH Version 2.0 bis 3.0.2 einen off-by-one Fehler im Kanal-Zuordnungscode hat. Diese Verwundbarkeit kann von einem authentifizierten Benutzer ausgenutzt werden, um root-Privilegien zu erlangen, oder von einem böswilligen Server, um einen Client mit diesem Fehler anzugreifen.
Da Debian 2.2 (Potato) mit OpenSSH (das »ssh« Paket) Version 1.2.3 verteilt wird, ist es nicht für diesen Angriff verwundbar. Keine Behebung ist für Debian 2.2 (Potato) notwendig.
Die Debian unstable- und testing-Archive enthalten ein aktuelleres OpenSSH-(ssh)-Paket. Wenn Sie diese unveröffentlichten Distributionen verwenden, sollten Sie sich davon überzeugen, dass Sie Version 3.0.2p1-8 einsetzen, eine gepatchte Version, die heute in das unstable-Archiv eingefügt wurde, oder eine spätere Version.