Joost Pol informou que o OpenSSH das versões 2.0 até 3.0.2 tem um bug "off-by-one" no código de alocação de canal. Essa vulnerabilidade pode ser explorada por usuários autenticados para ganhar privilégios de root ou por servidores mal-intencionados explorando um cliente com esse bug.
Desde o Debian 2.2 (potato) distribuído com o OpenSSH (o pacote "ssh") versão 1.2.3, ele não é vulnerável a esse exploit. Nenhum conserto é necessário para Debian 2.2 (potato).
Os arquivos do Debian instável e testing incluem um pacote OpenSSH (ssh) mais recente. Se você está rodando essas distribuições pre-release você deve ter certeza de que está rodando a versão 3.0.2p1-8, que tem os patches aplicados e foi adicionado ao arquivo da instável hoje, ou alguma versão posterior.