Hemos recibido informes de que la "vulnerabilidad del detector de ataques de compensación de CRC-32 de SSH (SSH CRC-32 compensation attack detector vulnerability)" se está explotando actualmente. Este es el mismo error de tipo de entero que se corrigió previamente en DSA-027-1. OpenSSH (el paquete Debian de ssh) se arregló en ese momento, pero ssh-nonfree y ssh-socks no lo fueron.
Aunque los paquetes en la sección non-free del archivo no están soportados oficialmente por el proyecto Debian, estamos dando el paso inusual de liberar paquetes actualizados de ssh-nonfree/ssh-socks para aquellos usuarios que no hayan migrado todavía a OpenSSH. Sin embargo, recomendamos que nuestros usuarios migren al paquete "ssh", con soporte regular, y libre de acuerdo a las DFSG, tan pronto como sea posible. ssh 1.2.3-9.3 es el paquete de OpenSSH disponible en Debian 2.2r4.
Los paquetes arreglados de ssh-nonfree/ssh-socks están disponibles en la versión 1.2.27-6.2 para su uso con Debian 2.2 (potato) y la versión 1.2.27-8 para su uso con la distribución Debian unstable/testing. Dése cuenta que los nuevos paquetes de ssh-nonfree/ssh-socks retiran el bit de setuid del binario de ssh, desactivando por tanto la autenticación rhosts-rsa. Si necesita esta funcionalidad, ejecute
chmod u+s /usr/bin/ssh1
después de instalar el nuevo paquete.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.