Joost Pol a rapporté que les versions d'OpenSSH 2.0 jusqu'à la 3.0.2 ont un bogue de décalage de limite dans le code d'allocation du canal. Cette vulnérabilité peut être exploitée par des utilisateurs authentifiés pour gagner les privilèges du superutilisateur ou par un serveur malintentionné faisant cette exploitation sur un client ayant ce bogue.
Puisque Debian 2.2 (potato) n'est fournie qu'avec OpenSSH (le paquet "ssh") version 1.2.3, elle n'est pas vulnérable à cette exploitation. Aucune correction n'est requise pour Debian 2.2 (potato).
Les archives unstable et testing de Debian, incluent quant à elles une version plus récente du paquet OpenSSH (ssh). Si vous tournez sur ces prédistributions, vous devriez vous assurer que vous faites tourner la version 3.0.2p1-8, ou une plus récente encore, version corrigée qui a été ajoutée aujourd'hui à l'archive unstable.