Core-SDI によって公開された勧告によれば、
ssh のバグと rsaref2 ライブラリの組合わせによって、
この問題のあるプログラムが動作しているホストへの
リモートアクセスが可能になってしまうとのことです。
Debian に収録された ssh のバージョンは rsaref2
に対してリンクされていません。
そのため出荷状態のものならば問題はありません。
なお、ssh のローカルコピーを rsaref2 ライブラリをリンクしてコンパイルした場合、
そのローカルコピーには問題があるでしょう。
この勧告に関するより詳しい情報については
CoreLabs Advisories - CORE-1201999
をご覧ください。
rsaref2 ライブラリを使用するいかなるソフトウェアも脆弱になりえます。
